不正アクセス

Webスキミングとは?主な2つの手口や対策・スキミングとの違い

Webスキミングとは、一般的に知られる「スキミング」をオンライン上でおこなうサイバー攻撃です。

Webサイトに不正なスクリプト(簡易的なプログラム)を埋め込まれ、それが「スキマー」となって情報を盗み取られてしまいます。

Webスキミングの被害は年々拡大しているため、十分な対策が必要です。

そこで本記事では、Webスキミングの基礎から企業側が実施すべき対策まで、下記の流れで解説します。

  • Webスキミングの特徴
  • Webスキミングの仕組み・主な手口
  • Webスキミングの被害で起こり得るリスク
  • Webスキミングの対策方法

Webスキミング対策の強化を図り、ユーザーに安心してサイトを利用してもらいたい方は、ぜひ最後まで記事をご覧ください。

\かっこ株式会社独自調査まとめ!近年のクレカ不正とは?/ クレカ不正の現状_2023

Webスキミングとは、不正なスクリプトを挿入して個人情報を盗むこと

Webスキミングとは、Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、クレジット番号や個人情報などを盗み取る不正行為のことを言います。

簡単に言えば、スキミング(「スキマー」と呼ばれる特殊な装置を使って不正に個人情報を取得すること)をWeb上でおこなうサイバー攻撃です。

前提として、スキミングでは「物理的な機械」が用いられます。一方で、Webスキミングでスキマーの代わりとなるのが「Webサイトに埋め込まれる不正なスクリプト」です。

【不正なスクリプトとは?】

Webサイトに勝手に埋め込まれる悪意のある簡易的なプログラムのこと。
不正なスクリプトがWebサイトに埋め込まれると、情報漏えいや不正アクセスなど、さまざまなサイバー攻撃の被害に遭う恐れがある。

不正なスクリプトは決済画面に仕込まれることが多いため、カード情報だけでなく住所や電話番号などの個人情報を盗まれるリスクも大きくなります。

さらには、決済ページやフォームは正規サイトのものが使用されていることから、利用者が気づかずに個人情報を入力してしまいやすい点も特徴の一つです。

このように、不正者が巧妙な手口を仕掛けてくるWebスキミングに対しては、個人はもちろん企業側も十分な対策が必要になります。

Webスキミングとスキミングの違い

ここで、Webスキミングと一般的なスキミングとの違いを、あらためて確認してみましょう。

Webスキミングスキミング
特徴Webサイトに不正なスクリプト(簡易的なプログラム)を勝手に埋め込み、カード情報や個人情報を盗み取る行為スキマーをはじめとした特殊な機械を使い、クレジットカードやキャッシュカードなどの情報を勝手に読み取る行為
主な攻撃方法Webサイトの決済ページやフォームなどを改ざんするATMや店舗に用意されたカードリーダーを悪用する
読み取る情報決済に必要な情報(カード番号・個人情報など)物理的なカードに登録されている情報
被害が発生
しやすい場所
主にECサイトATMやPOS端末、ガソリンスタンドなど

Webスキミングとスキミングには、オンライン上でおこなわれるか物理的なカードを狙うかの違いがありますが、どちらも発生すると多大な被害につながります。

そのため、日頃から十分な対策が必要になるのです。

スキミングについては下記の記事で詳しく紹介しているので、より知識を深めたい方は合わせてご参照ください。

Webスキミングの仕組みとは?主な2つの手口

Webスキミング対策をするには、まずどのような手口があるのか把握することが大切です。そこで本章では、Webスキミングの主な手口を2つ紹介します。

  1. ECサイトを改ざんして不正なスクリプトを埋め込む
  2. ECサイトが利用する外部サービスに不正なスクリプトを埋め込む

【手口1】ECサイトを改ざんして不正なスクリプトを埋め込む

Webスキミングの代表的な例として、ECサイトそのものが改ざんされ、不正なスクリプトを埋め込まれる手口が見られます。

普段利用しているECサイトと見た目に変化はないものの、サイト自体が改ざんされているため、利用者が入力した時点で情報が盗まれてしまうのです。

ECサイトそのものを狙うこの手口は、ターゲットごとにスクリプトの内容を変更可能なため、悪意のある第三者は欲しい情報を的確に入手できる特徴があります。

【手口2】ECサイトが利用する外部サービスに不正なスクリプトを埋め込む

Webスキミングのもう一つの手口として、ECサイトが利用している外部サービス(広告やアクセス解析用のサービスなど)のサーバーに不正なスクリプトを埋め込む例があります。

【外部サービスに不正なスクリプトが埋め込まれる手口】

  1. 外部サービスのサーバーが攻撃を受け、不正なコードを埋め込まれる
  2. ECサイトは、外部サービスのサーバーから知らないうちに不正なスクリプトをダウンロードし、実行してしまう
  3. その状態の決済画面で、何も知らないユーザーが決済情報を入力すると、不正なスクリプトが作動して悪意のある第三者に情報が知られてしまう

外部サービスの提供会社は、複数のECサイトにサービスを提供しているので、被害が拡大しやすくなります。

また、この手口の場合、ECサイトが直接改ざんされるわけではないので、被害に気づきにくいのも特徴の一つです。

Webスキミングの被害で起こり得るリスク

企業がWebスキミング対策を怠ると、重大なリスクにつながる恐れがあります。具体的には、次のようなリスクです。

【Webスキミングの被害で起こり得るリスク】

  • 個人情報の漏えい
  • 金銭的な損害
  • 被害への対応に追われる(時間や手間を取られてしまう)
  • 企業の信頼の失墜につながる
  • 法的な問題に発展する恐れ

Webスキミングが発生すると、不正者に個人情報を盗まれてしまい、さらには悪用されてしまいます。

金銭的な被害をはじめ、さまざまなところで問題が発生し、経営にも多大な影響が出てしまうのです。

また、会社の信頼も失墜してしまい、回復するには相当な時間を要することが考えられます。

このような事態に陥らないためにも、日頃から十分な対策をおこない、Webスキミングの被害に遭うリスクを軽減させておくことが重要です。

企業ができるWebスキミングに有効な対策4選

Webスキミングに有効な対策を4つ紹介します。

  1. ソフトウェアは最新のものを利用する
  2. 多要素認証を活用する
  3. ログ監視を徹底する
  4. 不正アクセス検知システムを利用する

どのように対策すればよいのか、次項にて詳しく説明します。

【対策1】ソフトウェアは最新のものを利用する

利用しているソフトウェアのバージョンを常に最新のものにしておくと、Webスキミングを予防できるようになります。

なぜなら、Webスキミングをはじめとしたサイバー攻撃には、次のような特徴があるからです。

【Webスキミングをはじめとしたサイバー攻撃の特徴】

  • 悪意のある第三者は、Webサイトの脆弱性を狙って攻撃を仕掛けてくることが多い
  • アップデートの通知が届くということは、何かしらの脆弱性が見つかり、その部分が修正された可能性がある
  • アップデートの通知が来たら常に更新しておくと、脆弱性が修正された状態でソフトウェアを利用できるようになり、セキュリティの強化につながる

ソフトウェアの更新通知を放置していると、Webスキミングの被害に遭うリスクを高めてしまいます。

逆に、ソフトウェアを最新の状態にしておくと、Webスキミングをはじめとしたさまざまなサイバー攻撃からデバイスを守れるようになるので、更新は早めに実行しましょう。

【対策2】多要素認証を活用する

2つ目は、システムの管理ページにアクセスする際に、多要素認証を活用することです。

多要素認証とは、下記3つの認証要素のうち2つ以上を組み合わせて本人確認をおこなうことを指します。

要素具体例
知識情報パスワード・秘密の質問・暗証番号
所持情報アプリ認証・ICカード
生体情報顔認証・指紋認証

多要素認証の設定により、万が一システムの脆弱性をつかれて不正アクセスされた場合でも、管理ページへの侵入を防げる可能性が高まります

しかし、多要素認証も万全ではないので、一般的な対策(パスワードの使い回しをしない・セキュリティソフトを利用するなど)を怠らないようにしましょう。

【対策3】ログ監視を徹底する

Webサーバーのアクセスや行動のログを監視することも、Webスキミング対策の一つです。

ログ監視を徹底すると、異常の検知や攻撃パターンの特定などがしやすくなります

▼「ログ監視の徹底」でできることの例

異常検知不正なログ(履歴)が見られた場合、通常時と比較して異常を検出する
攻撃の特定攻撃のパターンをログ解析で特定する
異常への早期対応異常なログが見られた場合は、アラートで通知して迅速な対応を可能にする
情報収集と分析ログ解析により攻撃者の行動やパターンなどを把握して、対策に活用できる

Webスキミングは、いつ被害に遭ってもおかしくないのが現状です。

しかし、ログ監視を徹底することで早期対応が可能になり、被害を最小限に留めやすくなります

【対策4】不正アクセス検知システムを利用する

不正アクセス検知システムを利用すると、Webスキミングによる被害をさらに防ぎやすくなります。

不正アクセス検知システムには、次のような導入メリットがあります。

【不正アクセス検知システムの導入メリット】

  • Webスキミングにより情報が盗まれた場合でも、不正アクセス検知システムにより早期検知が可能になり、被害を最小限に留められる
  • 疑いのあるアクセスにのみ二要素認証の実施やアクセス遮断をすることが可能になり、サイトのUI/UX低下を低減させない対策が可能になる

Webスキミングは、どれだけ対策を施しても完全には防げません。そのため、不正アクセス検知システムを活用し、リスクを軽減させることが重要です。

システムにはそれぞれ特徴があるので、複数を比較検討し、自社に適したものを利用するようにしましょう。

Webスキミング対策には「O-MOTION」がおすすめ

前章でもお伝えしたように、Webスキミングによる被害を完全に防ぐことは難しく、手間も時間もかかります。

そのため、Webスキミングによって情報が盗まれてしまった後の対策も重要です。

かっこ株式会社では、情報が漏れた際の被害を最小限に留めるのに有効な不正アクセス検知システム「O-MOTION」を提供しています。

【O-MOTIONが支持される理由】

  • 不正アクセスを検知できるため、Webサイトの改ざんを未然に防いでWebスキミング対策ができる
  • 万が一、被害が発生した場合でも、リアルタイムで管理者に通知するため被害を最小限に留められる
  • 二要素認証の実施や不正アクセスの疑いがある場合のアクセス遮断などで、正規のユーザーを守れる
  • なりすましログインやフィッシングなど、巧妙化するサイバー攻撃を網羅的に対策できる

独自の不正判定技術を有する「O-MOTION」は、大手銀行やネット証券会社をはじめとしたさまざまな業界で活用されています。

Webスキミングによる対策を十分に施し、ユーザーに安心してサイトを利用してもらいたい方は、下記からお気軽にサービス資料をダウンロードしてください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

まとめ:Webスキミングを理解して十分な対策を取ろう

Webスキミングとは、簡単に言えば一般的なスキミングをWeb上でおこなうことです。

企業がWebスキミング対策を怠ると、個人情報漏えいや金銭的な損失など大きな損害を受けるリスクがあります。

損害を受けるリスクを少なくするためにも、次のような対策を講じることが大切です。

【Webスキミングに有効な対策4選】

  1. ソフトウェアは最新のものを利用する
  2. 多要素認証を活用する
  3. ログ監視を徹底する
  4. 不正アクセス検知システムを利用する

なお、Webスキミングは「オンラインスキミング」とも呼ばれています。下記の記事で、オンラインスキミングの主な手口や対策を解説しているので、ぜひあわせてご覧ください。

ピックアップ記事

  1. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  2. クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説
  3. サイバー攻撃への対策5選!被害事例や対処法も解説
  4. サイバー攻撃とは?26種類の手口と事例、対策を徹底紹介
  5. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」

関連記事

  1. 不正アクセス

    SBI証券で発生した不正アクセスの手口を解説

    2020年9月に発生したSBI証券での不正アクセスの被害。この…

  2. 不正アクセス

    フィッシング攻撃とは?5つの手法やリスク、予防と対策まで徹底解説

    フィッシング攻撃とは、個人情報を抜き取ろうとする詐欺手法です。フィッシ…

  3. 不正アクセス

    個人情報が漏洩!?事後対応の9ステップ・4つの質問を具体例で解説

    巧妙化する不正アクセスや人為的なミスにより、個人情報漏洩事故が後を絶ち…

  4. 不正アクセス

    不正アクセスを防ぐ9つの対策とは?不正手口や4つの対処法も解説

    不正アクセスとは、本来アクセス権限を持たない者がサーバや情報システムの…

  5. 不正アクセス

    迷惑メールで個人情報が流出する?間違えて開いた・返信してしまった時の方法

    「間違えて迷惑メールを開いてしまった」「迷惑メール宛に個人情報を送…

フィッシング対策状況を今すぐチェック。「フィッシング対策セルフチェックシートWebサイトのなりすまし対策に!鉄壁PACK for フィッシング
クレジットカードの不正利用対策はしていない!?独自調査レポート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード
自社の商品の転売状況を「転売チェッカー」で調べてみませんか?

おすすめ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  2. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  3. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  4. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  5. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正検知システムとは

    不正検知・ノウハウ

    不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
  2. セキュリティ用語

    不正トラベルとは?その手口を図解・解説
  3. EDION 個人情報漏洩

    不正アクセス

    エディオン(EDION)が不正アクセスを受け顧客情報漏洩・削除被害
  4. ニュース・業界動向

    BNPLとは?仕組みやメリット・デメリット、クレジットカードとの違いを解説
  5. 楽天ポイント 不正

    不正アクセス

    楽天ポイントで不正利用被害発生|返還はされるのか、対策や被害後はどうするか?事業…
PAGE TOP