不正アクセス

  •  PR 

Webスキミングとは?主な2つの手口や対策・スキミングとの違い

Webスキミングとは、一般的に知られる「スキミング」をオンライン上でおこなうサイバー攻撃です。

Webサイトに不正なスクリプト(簡易的なプログラム)を埋め込まれ、それが「スキマー」となって情報を盗み取られてしまいます。

Webスキミングの被害は年々拡大しているため、十分な対策が必要です。

そこで本記事では、Webスキミングの基礎から企業側が実施すべき対策まで、下記の流れで解説します。

  • Webスキミングの特徴
  • Webスキミングの仕組み・主な手口
  • Webスキミングの被害で起こり得るリスク
  • Webスキミングの対策方法

Webスキミング対策の強化を図り、ユーザーに安心してサイトを利用してもらいたい方は、ぜひ最後まで記事をご覧ください。

\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ クレジットカード不正利用まとめ

Webスキミングとは、不正なスクリプトを挿入して個人情報を盗むこと

Webスキミングとは、Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、クレジット番号や個人情報などを盗み取る不正行為のことを言います。

簡単に言えば、スキミング(「スキマー」と呼ばれる特殊な装置を使って不正に個人情報を取得すること)をWeb上でおこなうサイバー攻撃です。

前提として、スキミングでは「物理的な機械」が用いられます。一方で、Webスキミングでスキマーの代わりとなるのが「Webサイトに埋め込まれる不正なスクリプト」です。

【不正なスクリプトとは?】

Webサイトに勝手に埋め込まれる悪意のある簡易的なプログラムのこと。
不正なスクリプトがWebサイトに埋め込まれると、情報漏えいや不正アクセスなど、さまざまなサイバー攻撃の被害に遭う恐れがある。

不正なスクリプトは決済画面に仕込まれることが多いため、カード情報だけでなく住所や電話番号などの個人情報を盗まれるリスクも大きくなります。

さらには、決済ページやフォームは正規サイトのものが使用されていることから、利用者が気づかずに個人情報を入力してしまいやすい点も特徴の一つです。

このように、不正者が巧妙な手口を仕掛けてくるWebスキミングに対しては、個人はもちろん企業側も十分な対策が必要になります。

Webスキミングとスキミングの違い

ここで、Webスキミングと一般的なスキミングとの違いを、あらためて確認してみましょう。

Webスキミングスキミング
特徴Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、カード情報や個人情報を盗み取る行為スキマーをはじめとした特殊な機械を使い、クレジットカードやキャッシュカードなどの情報を勝手に読み取る行為
主な攻撃方法Webサイトの決済ページやフォームなどを改ざんするATMや店舗に用意されたカードリーダーを悪用する
読み取る情報決済に必要な情報(カード番号・個人情報など)物理的なカードに登録されている情報
被害が発生
しやすい場所
主にECサイトATMやPOS端末、ガソリンスタンドなど

Webスキミングとスキミングには、オンライン上でおこなわれるか物理的なカードを狙うかの違いがありますが、どちらも発生すると多大な被害につながります。

そのため、日頃から十分な対策が必要になるのです。

スキミングについては下記の記事で詳しく紹介しているので、より知識を深めたい方は合わせてご参照ください。

Webスキミングの仕組みとは?主な2つの手口

Webスキミング対策をするには、まずどのような手口があるのか把握することが大切です。そこで本章では、Webスキミングの主な手口を2つ紹介します。

  1. ECサイトを改ざんして不正なスクリプトを埋め込む
  2. ECサイトが利用する外部サービスに不正なスクリプトを埋め込む

【手口1】ECサイトを改ざんして不正なスクリプトを埋め込む

Webスキミングの代表的な例として、ECサイトそのものが改ざんされ、不正なスクリプトを埋め込まれる手口が見られます。

普段利用しているECサイトと見た目に変化はないものの、サイト自体が改ざんされているため、利用者が入力した時点で情報が盗まれてしまうのです。

ECサイトそのものを狙うこの手口は、ターゲットごとにスクリプトの内容を変更可能なため、悪意のある第三者は欲しい情報を的確に入手できる特徴があります。

【手口2】ECサイトが利用する外部サービスに不正なスクリプトを埋め込む

Webスキミングのもう一つの手口として、ECサイトが利用している外部サービス(広告やアクセス解析用のサービスなど)のサーバーに不正なスクリプトを埋め込む例があります。

【外部サービスに不正なスクリプトが埋め込まれる手口】

  1. 外部サービスのサーバーが攻撃を受け、不正なコードを埋め込まれる
  2. ECサイトは、外部サービスのサーバーから知らないうちに不正なスクリプトをダウンロードし、実行してしまう
  3. その状態の決済画面で、何も知らないユーザーが決済情報を入力すると、不正なスクリプトが作動して悪意のある第三者に情報が知られてしまう

外部サービスの提供会社は、複数のECサイトにサービスを提供しているので、被害が拡大しやすくなります。

また、この手口の場合、ECサイトが直接改ざんされるわけではないので、被害に気づきにくいのも特徴の一つです。

Webスキミングの被害で起こり得るリスク

企業がWebスキミング対策を怠ると、重大なリスクにつながる恐れがあります。具体的には、次のようなリスクです。

【Webスキミングの被害で起こり得るリスク】

  • 個人情報の漏えい
  • 金銭的な損害
  • 被害への対応に追われる(時間や手間を取られてしまう)
  • 企業の信頼の失墜につながる
  • 法的な問題に発展する恐れ

Webスキミングが発生すると、不正者に個人情報を盗まれてしまい、さらには悪用されてしまいます。

金銭的な被害をはじめ、さまざまなところで問題が発生し、経営にも多大な影響が出てしまうのです。

また、会社の信頼も失墜してしまい、回復するには相当な時間を要することが考えられます。

このような事態に陥らないためにも、日頃から十分な対策をおこない、Webスキミングの被害に遭うリスクを軽減させておくことが重要です。

なお、Webスキミングによる炎上に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。

【炎上する前に確認】炎上・風評被害対策についてのお役立ち資料はこちら

企業ができるWebスキミングに有効な対策4選

Webスキミングに有効な対策を4つ紹介します。

  1. ソフトウェアは最新のものを利用する
  2. 多要素認証を活用する
  3. ログ監視を徹底する
  4. 不正アクセス検知システムを利用する

どのように対策すればよいのか、次項にて詳しく説明します。

【対策1】ソフトウェアは最新のものを利用する

利用しているソフトウェアのバージョンを常に最新のものにしておくと、Webスキミングを予防できるようになります。

なぜなら、Webスキミングをはじめとしたサイバー攻撃には、次のような特徴があるからです。

【Webスキミングをはじめとしたサイバー攻撃の特徴】

  • 悪意のある第三者は、Webサイトの脆弱性を狙って攻撃を仕掛けてくることが多い
  • アップデートの通知が届くということは、何かしらの脆弱性が見つかり、その部分が修正された可能性がある
  • アップデートの通知が来たら常に更新しておくと、脆弱性が修正された状態でソフトウェアを利用できるようになり、セキュリティの強化につながる

ソフトウェアの更新通知を放置していると、Webスキミングの被害に遭うリスクを高めてしまいます。

逆に、ソフトウェアを最新の状態にしておくと、Webスキミングをはじめとしたさまざまなサイバー攻撃からデバイスを守れるようになるので、更新は早めに実行しましょう。

【対策2】多要素認証を活用する

2つ目は、システムの管理ページにアクセスする際に、多要素認証を活用することです。

多要素認証とは、下記3つの認証要素のうち2つ以上を組み合わせて本人確認をおこなうことを指します。

要素具体例
知識情報パスワード・秘密の質問・暗証番号
所持情報アプリ認証・ICカード
生体情報顔認証・指紋認証

多要素認証の設定により、万が一システムの脆弱性をつかれて不正アクセスされた場合でも、管理ページへの侵入を防げる可能性が高まります

しかし、多要素認証も万全ではないので、一般的な対策(パスワードの使い回しをしない・セキュリティソフトを利用するなど)を怠らないようにしましょう。

【対策3】ログ監視を徹底する

Webサーバーのアクセスや行動のログを監視することも、Webスキミング対策の一つです。

ログ監視を徹底すると、異常の検知や攻撃パターンの特定などがしやすくなります

▼「ログ監視の徹底」でできることの例

異常検知不正なログ(履歴)が見られた場合、通常時と比較して異常を検出する
攻撃の特定攻撃のパターンをログ解析で特定する
異常への早期対応異常なログが見られた場合は、アラートで通知して迅速な対応を可能にする
情報収集と分析ログ解析により攻撃者の行動やパターンなどを把握して、対策に活用できる

Webスキミングは、いつ被害に遭ってもおかしくないのが現状です。

しかし、ログ監視を徹底することで早期対応が可能になり、被害を最小限に留めやすくなります

【対策4】不正アクセス検知システムを利用する

不正アクセス検知システムを利用すると、Webスキミングによる被害をさらに防ぎやすくなります。

不正アクセス検知システムには、次のような導入メリットがあります。

【不正アクセス検知システムの導入メリット】

  • Webスキミングにより情報が盗まれた場合でも、不正アクセス検知システムにより早期検知が可能になり、被害を最小限に留められる
  • 疑いのあるアクセスにのみ二要素認証の実施やアクセス遮断をすることが可能になり、サイトのUI/UX低下を低減させない対策が可能になる

Webスキミングは、どれだけ対策を施しても完全には防げません。そのため、不正アクセス検知システムを活用し、リスクを軽減させることが重要です。

システムにはそれぞれ特徴があるので、複数を比較検討し、自社に適したものを利用するようにしましょう。

Webスキミング対策には「O-MOTION」がおすすめ

前章でもお伝えしたように、Webスキミングによる被害を完全に防ぐことは難しく、手間も時間もかかります。

そのため、Webスキミングによって情報が盗まれてしまった後の対策も重要です。

かっこ株式会社では、情報が漏れた際の被害を最小限に留めるのに有効な不正アクセス検知システム「O-MOTION」を提供しています。

【O-MOTIONが支持される理由】

  • 不正アクセスを検知できるため、Webサイトの改ざんを未然に防いでWebスキミング対策ができる
  • 万が一、被害が発生した場合でも、リアルタイムで管理者に通知するため被害を最小限に留められる
  • 二要素認証の実施や不正アクセスの疑いがある場合のアクセス遮断などで、正規のユーザーを守れる
  • なりすましログインやフィッシングなど、巧妙化するサイバー攻撃を網羅的に対策できる

独自の不正判定技術を有する「O-MOTION」は、大手銀行やネット証券会社をはじめとしたさまざまな業界で活用されています。

Webスキミングによる対策を十分に施し、ユーザーに安心してサイトを利用してもらいたい方は、下記からお気軽にサービス資料をダウンロードしてください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

まとめ:Webスキミングを理解して十分な対策を取ろう

Webスキミングとは、簡単に言えば一般的なスキミングをWeb上でおこなうことです。

企業がWebスキミング対策を怠ると、個人情報漏えいや金銭的な損失など大きな損害を受けるリスクがあります。

損害を受けるリスクを少なくするためにも、次のような対策を講じることが大切です。

【Webスキミングに有効な対策4選】

  1. ソフトウェアは最新のものを利用する
  2. 多要素認証を活用する
  3. ログ監視を徹底する
  4. 不正アクセス検知システムを利用する

なお、Webスキミングは「オンラインスキミング」とも呼ばれています。下記の記事で、オンラインスキミングの主な手口や対策を解説しているので、ぜひあわせてご覧ください。

ピックアップ記事

  1. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  2. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  3. サイバー攻撃への対策5選!被害事例や対処法も解説
  4. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  5. 不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説

関連記事

  1. 不正アクセス

    なぜ個人情報漏洩は起こる?最新の流出原因TOP4と被害事例

    「最近、情報漏洩のニュースをよく聞くなあ」「利用したいwebサービ…

  2. 不正アクセス

    ロマンス詐欺とは?アプリなどで恋愛目的と詐欺の出会いを見分ける8つの方法

    「最近よく聞くロマンス詐欺ってどんな詐欺?」「ロマンス詐欺を見分け…

  3. アカウント乗っ取り

    不正アクセス

    アカウントの乗っ取りとは?想定被害と4つの対策

    「アカウントの乗っ取りって何?」「アカウントを乗っ取られるとどんな…

  4. 不正アクセスが起こる仕組みを解説

    不正アクセス

    不正アクセスが起こる仕組みを解説!原因や起こりうる被害、その対策なども紹介

    「不正アクセスが起こる仕組みは?」「不正アクセスが起こる原因は何?…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. EC構築・ノウハウ

    クレジットカード情報の非保持化とは?必要な理由や対応方法を解説
  2. 不正検知・ノウハウ

    チャージバック保険とは?保証の仕組みと不正利用対策としての効果について
  3. EC構築・ノウハウ

    ECとは?基礎知識から成功する5つのポイントまでわかりやすく解説
  4. EC構築・ノウハウ

    越境ECとは?海外展開をおすすめする5つの理由や出店の方法を解説
  5. EC構築・ノウハウ

    出荷管理とは? 必要な理由や効率化するための3つのポイントを解説
PAGE TOP