不正検知・ノウハウ

  •  PR 

フォームジャッキングの被害状況や防止策。ECサイト利用が増える今、不正検知や対策を。

ECサイトなどの注文情報入力ページにコードを仕掛け、クレジットカード情報を盗みだすフォームジャッキング。
この記事ではフォームジャッキングによるカード情報の流出状況とEC事業者ができる防止策について紹介します。

ECサイトの構築・運営に関するお役立ち資料のダウンロードは以下のバナーからダウンロードして参考にしてください。

EC運営に関する無料資料DLはこちら

フォームジャッキングによりカード情報の流出被害が拡大

カード情報の流出はこれまでも問題となっており、2018年6月に施行された改正割賦販売法では加盟店(実店舗・EC事業者等)に対してカード情報の非保持化が義務付けられました。

この非保持化により情報流出を抑制する効果が期待されており、実際に加盟店のデータベースが狙われることによる流出は非常に少なくなりました。

しかし、2018年下半期から目立ってきたのが「フォームジャッキング」という不正手口で、流出件数も拡大しているのが現状です。

不正対策サービスを提供しているかっこ株式会社の調査によると、直近の2019年上半期(1月~6月)のクレジットカード番号流出は約9万件。
これは前年同期に比べて2倍近くの数字です。

参考:金融情報流出、日本で急増 被害1兆円の試算
カード番号は倍増、対策急務│日本経済新聞

フォームジャッキングを防ぐには

では、クレジットカード情報の流出につながるフォームジャッキングを防ぐにはどのような対策をすればいいのでしょうか。

フォームジャッキングは注文画面などの改ざんによるものです。改ざんのためには、多くの場合ECサイト等のサーバー・管理画面への侵入が必要ですから、ネットワーク・アプリケーションに関する一般的なセキュリティ対策が有効となります。
まずは現時点での状況を知るためにセキュリティ会社などが提供する「脆弱性診断」を受けることをおすすめしますが、事業者が行える対策例として、次のようなものが挙げられます。

管理画面のURLを推測されにくいものにする

管理画面で使用するIDやパスワードを社名など推測しやすいものにしない、
誤入力が繰り返された場合にはアクセスを遮断する、
といった対策はもちろん大切ですが、見落としやすいのが管理画面のURL。
初期設定のものだったり、「/admin」など推測しやすいものだと攻撃に遭うリスクが高まってしまいます。

ファイアウォールの設定

ファイアウォールとは、外部ネットワークとの結節点となる場所に設置して悪質な通信を阻止するシステムです。

インターネットのデータ受信は、ポートとプロトコルという2つの規則が設定されています。

ファイアウォールを設定すると、不要なポートとプロトコルを遮断でき、不審なアクセスのブロックに役立ちます。

また、不正なアクセスがあった場合に管理者へ通知することも可能なため、様々な状況に対応が可能です。

WAF

WAFはWeb Application Firewallの略で、Webサイト上のアプリケーションに特化したファイアウォールです。
また、アプリケーションの脆弱性を狙う攻撃からWebサイトを保護できるようになるため、フォームジャッキングによる被害削減が見込めます。

IPS

IPS(Intrusion Prevention System)を導入すると不正な通信を感知し、アクセスを防止したり、アクセス元のIPアドレスを遮断したりできます。

不正の手口はデータの閲覧・盗用だけでなく、一定期間に大量のアクセスを行いサーバーに負担をかけるといったものもあります。

IPSは、そうした攻撃にも対応が可能です。

IPアドレス認証

IPアドレス認証は、あらかじめアクセスを許可するIPアドレスを設定しておき、ログイン時・アクセス時に照合する方法です。
自社や取引先のIPアドレスのみを許可しておくことで、不正アクセスが起こりにくい環境をつくります。

Basic認証

Basic認証は、事前に設定したIDとパスワードを照合することで簡易的にWebサイト・特定ページなどへのアクセス認証を行う仕組みです。
Webサーバ上に「.htaccess」という設定ファイルを設置・利用することで簡単に設定できありますが、あくまで簡易的な仕組みなので、不正対策という面では補助的に利用するのが良いでしょう。

ECサイト利用が増える年末年始は対策が必須

年末から年始にかけては、独身の日、ブラックフライデーからボーナス商戦、クリスマス、正月の初売り、それからバレンタインデーとEC事業者にとってイベントが続くかきいれ時。ただ、プロモーションや受注対応に追われがちな時期だからこそ、クレジットカード情報の流出で足元をすくわれないよう注意が必要です。
被害に合わないためにもフォーム画面のURLが改ざんされていないかなど、定期的に確認することが大切です。

ECサイトの構築・運営に関するお役立ち資料のダウンロードは以下のバナーからダウンロードして参考にしてください。

EC運営に関する無料資料DLはこちら

不正検知のシステムについてメリットデメリットを紹介しています。本記事と合わせてご参考まで。

不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
2019.07.30
不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
「不正検知システムとは?」 「不正検知システムを導入するメリットは?」 など、不正検知システムについて疑問を抱いているEC事業者はいませんか? 不正検知システムとは、不正な取引を事前に検知するセキュリティ技術のことです。 近年ECサイトでの...

ピックアップ記事

  1. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  2. 転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?
  3. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  4. 【2025年最新】クレジットカードの不正利用被害は過去最高額!クレカ不正の発生状…
  5. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説

関連記事

  1. 不正検知・ノウハウ

    クレジットカードの不正利用は逮捕される?適用される罪状や対策を解説

    クレジットカードを不正利用した者は逮捕される場合がありますが、すべての…

  2. なりすまし注文

    不正検知・ノウハウ

    なりすまし・いたずら注文に効果のある5つの予防と対策

    「使われていない住所から注文が入った」「個人の顧客から通常では考え…

  3. 不正検知・ノウハウ

    フィッシング詐欺メールを開いてしまった際の3つの対処法!事例・見分け方も解説

    フィッシング詐欺メールを開いただけでは、通常、個人情報を盗まれることは…

  4. 不正検知サービスは 無料で利用できる?

    不正検知・ノウハウ

    不正検知サービスは無料で利用できる?選ぶポイントやコストを抑えて導入できるサービスも紹介

    「不正検知サービスを無料で利用できないのか」「導入したいが社内の稟…

  5. 不正検知・ノウハウ

    スピアフィッシング攻撃とは?手口や4つの対策・フィッシングとの違いを解説

    スピアフィッシング攻撃とは、個人情報や機密情報を盗み取ることを目的に、…

  6. 無断キャンセルをしてしまったら?

    不正検知・ノウハウ

    無断キャンセルをしてしまったら?予約時間に行けない理由や法的処分回避するための工夫

    「お店の予約をすっぽかしてしまった!どうしよう!?」と焦ったこ…

かっこ株式会社独自調査ECレポート
EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2025年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
かっこ株式会社独自調査ECレポート

お役立ち資料

EC不正事業者セルフチェックシート

  1. 不正検知・ノウハウ

    初回限定品を狙った不正注文・転売の対策方法7選
  2. チャージバック保険に入っていれば安心は間違い

    チャージバック

    チャージバック保険があれば安心は間違い!不正注文検知システムを導入すべき理由を徹…
  3. Paypal 悪用,Paypal 不正

    ニュース・業界動向

    Paypal(ペイパル)のキャンペーンを悪用!報奨金を不正取得され450万アカウ…

  4. 不正アクセス・ログイン

    WAFとは?仕組みや導入すべき理由をセキュリティ初心者にもわかりやすく解説

  5. 不正検知・ノウハウ

    クレジットカードの不正利用で返金してもらう4手順!7つの不正利用手口も解説
PAGE TOP