セキュリティ用語

  •  PR 

増加するオンラインスキミングとは?その手口と被害をまとめました

ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。

この記事では

  • オンラインスキミングとは何か
  • オンラインスキミングの主な手口
  • オンラインスキミングを防ぐために取るべき対策

について解説します。

オンラインスキミングとは何か

オンラインスキミングとは、ECサイトなどに不正なコードを挿入し利用者が入力した決済情報を盗む行為を指します。
ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。
さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。

オンラインスキミングの発生は日本だけではありません。
例えば、2018年9月にイギリスの航空会社British Airwaysのオンラインストアが、2019年4月にはアメリカとカナダで200以上の大学のオンラインストアが、サイバー犯罪集団グループMagecartからハッキングを受けたという報道がありました。

手口としてはオンラインストアにJavaScriptのコードを埋め込み、支払いフォームに入力される情報(クレジット番号、名前、住所など)を窃取し、遠隔のサーバーに送信するといったものです。
このようにオンラインスキミングの被害は海外の大手ECサイトなどでも報告されています。

オンラインスキミングの主な手口

ECサイトの改ざんによるオンラインスキミングの手口から、増加しているものをご紹介します。

1.偽決済ページヘの誘導

1つ目は、偽物の決済情報入力ページへ誘導しクレジットカード情報を窃取する手法です。

この手口ではECサイトが改ざんされ、商品カートから決済入力画面に移行する際に偽造された決済代行会社の決済サイトに誘導されます。

利用者が偽造されたサイトのクレジットカード情報入力フォームにて情報を入力し決済を行うとエラーメッセージが表示され、その間にクレジットカードの情報等が遠隔のサーバーに送信されます。

その後、正規の決済代行会社の決済サイトに戻され正規の決済手続に移行します。そのため、商品購入の手続きも通常通り行えて後日商品も届くことでクレジットカード情報が盗まれたことに気づきにくいです。

2.不正者への情報送信

2つ目は、ECサイトにスクリプトを埋め込むことにより不正者へ情報を送信する手法です。

こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。
利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

こちらの手口も正規のカード情報入力フォームが改ざんされているため、利用者はクレジットカード情報が盗まれたことに気づくことは困難です。

\不正発覚した時に企業としてどう対応しますか?/

オンラインスキミングを防ぐために取るべき対策

ここで紹介したオンラインスキミングの手口はいずれもサイトの改ざんを防ぐことで対策できます。

  • ミドルウェアやプラットフォームなどのアップデート実施
  • 管理者アカウントのパスワード強化
  • 管理者アカウントへの二要素認証の導入

といった対応で脆弱性を極力なくし、不正なログインからの改ざんも防ぐようにしましょう。

オンラインショッピングの普及と共にオンラインスキミングの被害も増加し、EC事業者は情報漏洩や不正利用情報漏洩への対策が求められています。

ピックアップ記事

  1. サイバー攻撃への対策5選!被害事例や対処法も解説
  2. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  3. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  4. フィッシングサイトを検知する3つの方法!企業が受ける被害例も紹介
  5. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!

関連記事

  1. セキュリティ用語

    フィッシングメールとは?実例や見分け方、対処法について解説

    「フィッシングメールとは何だろう」「フィッシングメール対策が知りた…

  2. セキュリティ用語

    決済とは?代表的な種類や選び方、決裁との違いなどを解説

    決済とは、商品やサービスなどと交換する際にお金を支払い、売買取引を完了…

  3. セキュリティ用語

    不正トラベルとは?その手口を図解・解説

    旅行サービス(宿泊施設・航空券・テーマパークのチケット等)を提供する事…

  4. セキュリティ用語

    フィッシングサイトとは?偽物と公式の見分け方や被害事例、情報流出を守る方法も解説

    フィッシングサイトとは、公式サイトに似せた偽サイトのことです。…

  5. 不正アクセス・ログイン

    eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

    「eKYCとはどういう意味で、どのような特徴があるのだろう?」「e…

かっこ株式会社独自調査ECレポート
EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2025年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
かっこ株式会社独自調査ECレポート

お役立ち資料

EC不正事業者セルフチェックシート
  1. 不正検知・ノウハウ

    2016年改正、2018年施行の割賦販売法とは?「実行計画」の中身も解説
  2. セキュリティコードとは?

    セキュリティ用語

    クレジットカードのセキュリティコード(CVV)とは?3つの役割から流出の原因や対…
  3. 不正検知・ノウハウ

    個人情報を抜き取られ偽造されるとどうなる?事例や6つの対策を紹介
  4. EC構築・ノウハウ

    【事業者向け】電子決済を導入するうえでの注意点4つと店舗に合う電子決済の選び方
  5. 不正検知・ノウハウ

    クレジットカード・セキュリティガイドライン【6.0】のポイントをどこよりも分かり…
PAGE TOP