Webスキミングとは、一般的に知られる「スキミング」をオンライン上でおこなうサイバー攻撃です。
Webサイトに不正なスクリプト(簡易的なプログラム)を埋め込まれ、それが「スキマー」となって情報を盗み取られてしまいます。
Webスキミングの被害は年々拡大しているため、十分な対策が必要です。
そこで本記事では、Webスキミングの基礎から企業側が実施すべき対策まで、下記の流れで解説します。
- Webスキミングの特徴
- Webスキミングの仕組み・主な手口
- Webスキミングの被害で起こり得るリスク
- Webスキミングの対策方法
Webスキミング対策の強化を図り、ユーザーに安心してサイトを利用してもらいたい方は、ぜひ最後まで記事をご覧ください。
\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ 
目次
Webスキミングとは、不正なスクリプトを挿入して個人情報を盗むこと
Webスキミングとは、Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、クレジット番号や個人情報などを盗み取る不正行為のことを言います。
簡単に言えば、スキミング(「スキマー」と呼ばれる特殊な装置を使って不正に個人情報を取得すること)をWeb上でおこなうサイバー攻撃です。
前提として、スキミングでは「物理的な機械」が用いられます。一方で、Webスキミングでスキマーの代わりとなるのが「Webサイトに埋め込まれる不正なスクリプト」です。
| 【不正なスクリプトとは?】 Webサイトに勝手に埋め込まれる悪意のある簡易的なプログラムのこと。 |
不正なスクリプトは決済画面に仕込まれることが多いため、カード情報だけでなく住所や電話番号などの個人情報を盗まれるリスクも大きくなります。
さらには、決済ページやフォームは正規サイトのものが使用されていることから、利用者が気づかずに個人情報を入力してしまいやすい点も特徴の一つです。
このように、不正者が巧妙な手口を仕掛けてくるWebスキミングに対しては、個人はもちろん企業側も十分な対策が必要になります。
Webスキミングとスキミングの違い
ここで、Webスキミングと一般的なスキミングとの違いを、あらためて確認してみましょう。
| Webスキミング | スキミング | |
|---|---|---|
| 特徴 | Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、カード情報や個人情報を盗み取る行為 | スキマーをはじめとした特殊な機械を使い、クレジットカードやキャッシュカードなどの情報を勝手に読み取る行為 |
| 主な攻撃方法 | Webサイトの決済ページやフォームなどを改ざんする | ATMや店舗に用意されたカードリーダーを悪用する |
| 読み取る情報 | 決済に必要な情報(カード番号・個人情報など) | 物理的なカードに登録されている情報 |
| 被害が発生 しやすい場所 | 主にECサイト | ATMやPOS端末、ガソリンスタンドなど |
Webスキミングとスキミングには、オンライン上でおこなわれるか物理的なカードを狙うかの違いがありますが、どちらも発生すると多大な被害につながります。
そのため、日頃から十分な対策が必要になるのです。
スキミングについては下記の記事で詳しく紹介しているので、より知識を深めたい方は合わせてご参照ください。
Webスキミングの仕組みとは?主な2つの手口
Webスキミング対策をするには、まずどのような手口があるのか把握することが大切です。そこで本章では、Webスキミングの主な手口を2つ紹介します。
- ECサイトを改ざんして不正なスクリプトを埋め込む
- ECサイトが利用する外部サービスに不正なスクリプトを埋め込む
【手口1】ECサイトを改ざんして不正なスクリプトを埋め込む
Webスキミングの代表的な例として、ECサイトそのものが改ざんされ、不正なスクリプトを埋め込まれる手口が見られます。
普段利用しているECサイトと見た目に変化はないものの、サイト自体が改ざんされているため、利用者が入力した時点で情報が盗まれてしまうのです。
ECサイトそのものを狙うこの手口は、ターゲットごとにスクリプトの内容を変更可能なため、悪意のある第三者は欲しい情報を的確に入手できる特徴があります。
【手口2】ECサイトが利用する外部サービスに不正なスクリプトを埋め込む
Webスキミングのもう一つの手口として、ECサイトが利用している外部サービス(広告やアクセス解析用のサービスなど)のサーバーに不正なスクリプトを埋め込む例があります。
【外部サービスに不正なスクリプトが埋め込まれる手口】
|
外部サービスの提供会社は、複数のECサイトにサービスを提供しているので、被害が拡大しやすくなります。
また、この手口の場合、ECサイトが直接改ざんされるわけではないので、被害に気づきにくいのも特徴の一つです。
Webスキミングの被害で起こり得るリスク
企業がWebスキミング対策を怠ると、重大なリスクにつながる恐れがあります。具体的には、次のようなリスクです。
【Webスキミングの被害で起こり得るリスク】
|
Webスキミングが発生すると、不正者に個人情報を盗まれてしまい、さらには悪用されてしまいます。
金銭的な被害をはじめ、さまざまなところで問題が発生し、経営にも多大な影響が出てしまうのです。
また、会社の信頼も失墜してしまい、回復するには相当な時間を要することが考えられます。
このような事態に陥らないためにも、日頃から十分な対策をおこない、Webスキミングの被害に遭うリスクを軽減させておくことが重要です。
なお、Webスキミングによる炎上に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。
【炎上する前に確認】炎上・風評被害対策についてのお役立ち資料はこちら
企業ができるWebスキミングに有効な対策4選
Webスキミングに有効な対策を4つ紹介します。
- ソフトウェアは最新のものを利用する
- 多要素認証を活用する
- ログ監視を徹底する
- 不正アクセス検知システムを利用する
どのように対策すればよいのか、次項にて詳しく説明します。
【対策1】ソフトウェアは最新のものを利用する
利用しているソフトウェアのバージョンを常に最新のものにしておくと、Webスキミングを予防できるようになります。
なぜなら、Webスキミングをはじめとしたサイバー攻撃には、次のような特徴があるからです。
【Webスキミングをはじめとしたサイバー攻撃の特徴】
|
ソフトウェアの更新通知を放置していると、Webスキミングの被害に遭うリスクを高めてしまいます。
逆に、ソフトウェアを最新の状態にしておくと、Webスキミングをはじめとしたさまざまなサイバー攻撃からデバイスを守れるようになるので、更新は早めに実行しましょう。
【対策2】多要素認証を活用する
2つ目は、システムの管理ページにアクセスする際に、多要素認証を活用することです。
多要素認証とは、下記3つの認証要素のうち2つ以上を組み合わせて本人確認をおこなうことを指します。
| 要素 | 具体例 |
|---|---|
| 知識情報 | パスワード・秘密の質問・暗証番号 |
| 所持情報 | アプリ認証・ICカード |
| 生体情報 | 顔認証・指紋認証 |
多要素認証の設定により、万が一システムの脆弱性をつかれて不正アクセスされた場合でも、管理ページへの侵入を防げる可能性が高まります。
しかし、多要素認証も万全ではないので、一般的な対策(パスワードの使い回しをしない・セキュリティソフトを利用するなど)を怠らないようにしましょう。
【対策3】ログ監視を徹底する
Webサーバーのアクセスや行動のログを監視することも、Webスキミング対策の一つです。
ログ監視を徹底すると、異常の検知や攻撃パターンの特定などがしやすくなります。
▼「ログ監視の徹底」でできることの例
| 異常検知 | 不正なログ(履歴)が見られた場合、通常時と比較して異常を検出する |
| 攻撃の特定 | 攻撃のパターンをログ解析で特定する |
| 異常への早期対応 | 異常なログが見られた場合は、アラートで通知して迅速な対応を可能にする |
| 情報収集と分析 | ログ解析により攻撃者の行動やパターンなどを把握して、対策に活用できる |
Webスキミングは、いつ被害に遭ってもおかしくないのが現状です。
しかし、ログ監視を徹底することで早期対応が可能になり、被害を最小限に留めやすくなります。
【対策4】不正アクセス検知システムを利用する
不正アクセス検知システムを利用すると、Webスキミングによる被害をさらに防ぎやすくなります。
不正アクセス検知システムには、次のような導入メリットがあります。
【不正アクセス検知システムの導入メリット】
|
Webスキミングは、どれだけ対策を施しても完全には防げません。そのため、不正アクセス検知システムを活用し、リスクを軽減させることが重要です。
システムにはそれぞれ特徴があるので、複数を比較検討し、自社に適したものを利用するようにしましょう。
Webスキミング対策には「O-MOTION」がおすすめ
前章でもお伝えしたように、Webスキミングによる被害を完全に防ぐことは難しく、手間も時間もかかります。
そのため、Webスキミングによって情報が盗まれてしまった後の対策も重要です。
かっこ株式会社では、情報が漏れた際の被害を最小限に留めるのに有効な不正アクセス検知システム「O-MOTION」を提供しています。
【O-MOTIONが支持される理由】
|
独自の不正判定技術を有する「O-MOTION」は、大手銀行やネット証券会社をはじめとしたさまざまな業界で活用されています。
Webスキミングによる対策を十分に施し、ユーザーに安心してサイトを利用してもらいたい方は、下記からお気軽にサービス資料をダウンロードしてください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
まとめ:Webスキミングを理解して十分な対策を取ろう
Webスキミングとは、簡単に言えば一般的なスキミングをWeb上でおこなうことです。
企業がWebスキミング対策を怠ると、個人情報漏えいや金銭的な損失など大きな損害を受けるリスクがあります。
損害を受けるリスクを少なくするためにも、次のような対策を講じることが大切です。
【Webスキミングに有効な対策4選】
|
なお、Webスキミングは「オンラインスキミング」とも呼ばれています。下記の記事で、オンラインスキミングの主な手口や対策を解説しているので、ぜひあわせてご覧ください。
