ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。
この記事では
- オンラインスキミングとは何か
- オンラインスキミングの主な手口
- オンラインスキミングを防ぐために取るべき対策
について解説します。
オンラインスキミングとは何か
オンラインスキミングとは、ECサイトなどに不正なコードを挿入し利用者が入力した決済情報を盗む行為を指します。
ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。
さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。
オンラインスキミングの発生は日本だけではありません。
例えば、2018年9月にイギリスの航空会社British Airwaysのオンラインストアが、2019年4月にはアメリカとカナダで200以上の大学のオンラインストアが、サイバー犯罪集団グループMagecartからハッキングを受けたという報道がありました。
手口としてはオンラインストアにJavaScriptのコードを埋め込み、支払いフォームに入力される情報(クレジット番号、名前、住所など)を窃取し、遠隔のサーバーに送信するといったものです。
このようにオンラインスキミングの被害は海外の大手ECサイトなどでも報告されています。
オンラインスキミングの主な手口
ECサイトの改ざんによるオンラインスキミングの手口から、増加しているものをご紹介します。
1.偽決済ページヘの誘導
1つ目は、偽物の決済情報入力ページへ誘導しクレジットカード情報を窃取する手法です。
この手口ではECサイトが改ざんされ、商品カートから決済入力画面に移行する際に偽造された決済代行会社の決済サイトに誘導されます。
利用者が偽造されたサイトのクレジットカード情報入力フォームにて情報を入力し決済を行うとエラーメッセージが表示され、その間にクレジットカードの情報等が遠隔のサーバーに送信されます。
その後、正規の決済代行会社の決済サイトに戻され正規の決済手続に移行します。そのため、商品購入の手続きも通常通り行えて後日商品も届くことでクレジットカード情報が盗まれたことに気づきにくいです。
2.不正者への情報送信
2つ目は、ECサイトにスクリプトを埋め込むことにより不正者へ情報を送信する手法です。
こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。
利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。
こちらの手口も正規のカード情報入力フォームが改ざんされているため、利用者はクレジットカード情報が盗まれたことに気づくことは困難です。
\不正発覚した時に企業としてどう対応しますか?/ 
オンラインスキミングを防ぐために取るべき対策
ここで紹介したオンラインスキミングの手口はいずれもサイトの改ざんを防ぐことで対策できます。
- ミドルウェアやプラットフォームなどのアップデート実施
- 管理者アカウントのパスワード強化
- 管理者アカウントへの二要素認証の導入
といった対応で脆弱性を極力なくし、不正なログインからの改ざんも防ぐようにしましょう。
オンラインショッピングの普及と共にオンラインスキミングの被害も増加し、EC事業者は情報漏洩や不正利用情報漏洩への対策が求められています。
