Webスキミングとは?主な2つの手口や対策・スキミングとの違い

2023.10.17
不正アクセス・ログイン

Webスキミングとは、一般的に知られる「スキミング」をオンライン上でおこなうサイバー攻撃です。

Webサイトに不正なスクリプト(簡易的なプログラム)を埋め込まれ、それが「スキマー」となって情報を盗み取られてしまいます。

Webスキミングの被害は年々拡大しているため、十分な対策が必要です。

そこで本記事では、Webスキミングの基礎から企業側が実施すべき対策まで、下記の流れで解説します。

  • Webスキミングの特徴
  • Webスキミングの仕組み・主な手口
  • Webスキミングの被害で起こり得るリスク
  • Webスキミングの対策方法

Webスキミング対策の強化を図り、ユーザーに安心してサイトを利用してもらいたい方は、ぜひ最後まで記事をご覧ください。

\かっこ株式会社独自調査!近年のクレカ不正とは?/

Webスキミングとは、不正なスクリプトを挿入して個人情報を盗むこと

Webスキミングとは、Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、クレジット番号や個人情報などを盗み取る不正行為のことを言います。

簡単に言えば、スキミング(「スキマー」と呼ばれる特殊な装置を使って不正に個人情報を取得すること)をWeb上でおこなうサイバー攻撃です。

前提として、スキミングでは「物理的な機械」が用いられます。一方で、Webスキミングでスキマーの代わりとなるのが「Webサイトに埋め込まれる不正なスクリプト」です。

【不正なスクリプトとは?】

Webサイトに勝手に埋め込まれる悪意のある簡易的なプログラムのこと。
不正なスクリプトがWebサイトに埋め込まれると、情報漏えいや不正アクセスなど、さまざまなサイバー攻撃の被害に遭う恐れがある。

不正なスクリプトは決済画面に仕込まれることが多いため、カード情報だけでなく住所や電話番号などの個人情報を盗まれるリスクも大きくなります。

さらには、決済ページやフォームは正規サイトのものが使用されていることから、利用者が気づかずに個人情報を入力してしまいやすい点も特徴の一つです。

このように、不正者が巧妙な手口を仕掛けてくるWebスキミングに対しては、個人はもちろん企業側も十分な対策が必要になります。

Webスキミングとスキミングの違い

ここで、Webスキミングと一般的なスキミングとの違いを、あらためて確認してみましょう。

Webスキミング スキミング
特徴 Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、カード情報や個人情報を盗み取る行為 スキマーをはじめとした特殊な機械を使い、クレジットカードやキャッシュカードなどの情報を勝手に読み取る行為
主な攻撃方法 Webサイトの決済ページやフォームなどを改ざんする ATMや店舗に用意されたカードリーダーを悪用する
読み取る情報 決済に必要な情報(カード番号・個人情報など) 物理的なカードに登録されている情報
被害が発生
しやすい場所		 主にECサイト ATMやPOS端末、ガソリンスタンドなど

Webスキミングとスキミングには、オンライン上でおこなわれるか物理的なカードを狙うかの違いがありますが、どちらも発生すると多大な被害につながります。

そのため、日頃から十分な対策が必要になるのです。

スキミングについては下記の記事で詳しく紹介しているので、より知識を深めたい方は合わせてご参照ください。

スキミングとは?主な手口や5つの対策、対処法などを徹底解説
2023.08.29
スキミングとは?主な手口や5つの対策、対処法などを徹底解説
スキミングとは、特殊な機械を用いて不正にカード情報などを盗み取る行為を指します。 カード決済は手元に現金がなくても支払える便利な決済手段ですが、気を付けないとあなたもスキミングの被害に遭うかもしれません。 そこで本記事では、スキミングに関する下記の...

Webスキミングの仕組みとは?主な2つの手口

Webスキミング対策をするには、まずどのような手口があるのか把握することが大切です。そこで本章では、Webスキミングの主な手口を2つ紹介します。

  1. ECサイトを改ざんして不正なスクリプトを埋め込む
  2. ECサイトが利用する外部サービスに不正なスクリプトを埋め込む

【手口1】ECサイトを改ざんして不正なスクリプトを埋め込む

Webスキミングの代表的な例として、ECサイトそのものが改ざんされ、不正なスクリプトを埋め込まれる手口が見られます。

普段利用しているECサイトと見た目に変化はないものの、サイト自体が改ざんされているため、利用者が入力した時点で情報が盗まれてしまうのです。

ECサイトそのものを狙うこの手口は、ターゲットごとにスクリプトの内容を変更可能なため、悪意のある第三者は欲しい情報を的確に入手できる特徴があります。

【手口2】ECサイトが利用する外部サービスに不正なスクリプトを埋め込む

Webスキミングのもう一つの手口として、ECサイトが利用している外部サービス(広告やアクセス解析用のサービスなど)のサーバーに不正なスクリプトを埋め込む例があります。

【外部サービスに不正なスクリプトが埋め込まれる手口】

  1. 外部サービスのサーバーが攻撃を受け、不正なコードを埋め込まれる
  2. ECサイトは、外部サービスのサーバーから知らないうちに不正なスクリプトをダウンロードし、実行してしまう
  3. その状態の決済画面で、何も知らないユーザーが決済情報を入力すると、不正なスクリプトが作動して悪意のある第三者に情報が知られてしまう

外部サービスの提供会社は、複数のECサイトにサービスを提供しているので、被害が拡大しやすくなります。

また、この手口の場合、ECサイトが直接改ざんされるわけではないので、被害に気づきにくいのも特徴の一つです。

Webスキミングの被害で起こり得るリスク

企業がWebスキミング対策を怠ると、重大なリスクにつながる恐れがあります。具体的には、次のようなリスクです。

【Webスキミングの被害で起こり得るリスク】

  • 個人情報の漏えい
  • 金銭的な損害
  • 被害への対応に追われる(時間や手間を取られてしまう)
  • 企業の信頼の失墜につながる
  • 法的な問題に発展する恐れ

Webスキミングが発生すると、不正者に個人情報を盗まれてしまい、さらには悪用されてしまいます。

金銭的な被害をはじめ、さまざまなところで問題が発生し、経営にも多大な影響が出てしまうのです。

また、会社の信頼も失墜してしまい、回復するには相当な時間を要することが考えられます。

このような事態に陥らないためにも、日頃から十分な対策をおこない、Webスキミングの被害に遭うリスクを軽減させておくことが重要です。

なお、Webスキミングによる炎上に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。

【炎上する前に確認】炎上・風評被害対策についてのお役立ち資料はこちら

企業ができるWebスキミングに有効な対策4選

Webスキミングに有効な対策を4つ紹介します。

  1. ソフトウェアは最新のものを利用する
  2. 多要素認証を活用する
  3. ログ監視を徹底する
  4. 不正検知サービスを利用する

どのように対策すればよいのか、次項にて詳しく説明します。

【対策1】ソフトウェアは最新のものを利用する

利用しているソフトウェアのバージョンを常に最新のものにしておくと、Webスキミングを予防できるようになります。

なぜなら、Webスキミングをはじめとしたサイバー攻撃には、次のような特徴があるからです。

【Webスキミングをはじめとしたサイバー攻撃の特徴】

  • 悪意のある第三者は、Webサイトの脆弱性を狙って攻撃を仕掛けてくることが多い
  • アップデートの通知が届くということは、何かしらの脆弱性が見つかり、その部分が修正された可能性がある
  • アップデートの通知が来たら常に更新しておくと、脆弱性が修正された状態でソフトウェアを利用できるようになり、セキュリティの強化につながる

ソフトウェアの更新通知を放置していると、Webスキミングの被害に遭うリスクを高めてしまいます。

逆に、ソフトウェアを最新の状態にしておくと、Webスキミングをはじめとしたさまざまなサイバー攻撃からデバイスを守れるようになるので、更新は早めに実行しましょう。

【対策2】多要素認証を活用する

2つ目は、システムの管理ページにアクセスする際に、多要素認証を活用することです。

多要素認証とは、下記3つの認証要素のうち2つ以上を組み合わせて本人確認をおこなうことを指します。

要素 具体例
知識情報 パスワード・秘密の質問・暗証番号
所持情報 アプリ認証・ICカード
生体情報 顔認証・指紋認証

多要素認証の設定により、万が一システムの脆弱性をつかれて不正アクセスされた場合でも、管理ページへの侵入を防げる可能性が高まります

しかし、多要素認証も万全ではないので、一般的な対策(パスワードの使い回しをしない・セキュリティソフトを利用するなど)を怠らないようにしましょう。

【対策3】ログ監視を徹底する

Webサーバーのアクセスや行動のログを監視することも、Webスキミング対策の一つです。

ログ監視を徹底すると、異常の検知や攻撃パターンの特定などがしやすくなります

▼「ログ監視の徹底」でできることの例

異常検知 不正なログ(履歴)が見られた場合、通常時と比較して異常を検出する
攻撃の特定 攻撃のパターンをログ解析で特定する
異常への早期対応 異常なログが見られた場合は、アラートで通知して迅速な対応を可能にする
情報収集と分析 ログ解析により攻撃者の行動やパターンなどを把握して、対策に活用できる

Webスキミングは、いつ被害に遭ってもおかしくないのが現状です。

しかし、ログ監視を徹底することで早期対応が可能になり、被害を最小限に留めやすくなります

【対策4】不正検知サービスを利用する

不正検知サービスを利用すると、Webスキミングによる被害をさらに防ぎやすくなります。

不正検知サービスには、次のような導入メリットがあります。

【不正検知サービスの導入メリット】

  • Webスキミングにより情報が盗まれた場合でも、不正ログイン検知サービスにより早期検知が可能になり、被害を最小限に留められる
  • 疑いのある不正アクセス・ログインにのみ二要素認証の実施やアクセス遮断をすることが可能になり、サイトのUI/UX低下を低減させない対策が可能になる

Webスキミングは、どれだけ対策を施しても完全には防げません。そのため、不正検知サービスを活用し、リスクを軽減させることが重要です。

システムにはそれぞれ特徴があるので、複数を比較検討し、自社に適したものを利用するようにしましょう。

Webスキミング対策には不正検知サービス「O-PLUX」がおすすめ

前章でもお伝えしたように、Webスキミングによる被害を完全に防ぐことは難しく、手間も時間もかかります。

そのため、Webスキミングによって情報が盗まれてしまった後の対策も重要です。

かっこ株式会社では、情報が漏れた際の被害を最小限に留めるのに有効な不正検知サービス「O-PLUX」を提供しています。

【O-PLUXが支持される理由】

  • 不正アクセス・ログインを検知できるため、Webサイトの改ざんを未然に防いでWebスキミング対策ができる
  • 万が一、被害が発生した場合でも、リアルタイムで管理者に通知するため被害を最小限に留められる
  • 二要素認証の実施や不正アクセス・ログインの疑いがある場合のアクセス遮断などで、正規のユーザーを守れる
  • なりすましログインやフィッシングなど、巧妙化するサイバー攻撃を網羅的に対策できる

独自の不正判定技術を有する「O-PLUX」は、大手銀行やネット証券会社をはじめとしたさまざまな業界で活用されています。

Webスキミングによる対策を十分に施し、ユーザーに安心してサイトを利用してもらいたい方は、下記からお気軽にサービス資料をダウンロードしてください。


1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

まとめ:Webスキミングを理解して十分な対策を取ろう

Webスキミングとは、簡単に言えば一般的なスキミングをWeb上でおこなうことです。

企業がWebスキミング対策を怠ると、個人情報漏えいや金銭的な損失など大きな損害を受けるリスクがあります。

損害を受けるリスクを少なくするためにも、次のような対策を講じることが大切です。

【Webスキミングに有効な対策4選】

  1. ソフトウェアは最新のものを利用する
  2. 多要素認証を活用する
  3. ログ監視を徹底する
  4. 不正検知サービスを利用する

なお、Webスキミングは「オンラインスキミング」とも呼ばれています。下記の記事で、オンラインスキミングの主な手口や対策を解説しているので、ぜひあわせてご覧ください。

増加するオンラインスキミングとは?その手口と被害をまとめました
2020.03.27
増加するオンラインスキミングとは?その手口と被害をまとめました
ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。 この記事では オンラインスキミングとは何か オンラインスキミングの主な手口 オンラインスキミングを防ぐために取るべき対策 に...


1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

関連記事