セキュリティ用語

  •  PR 

フォームジャッキングとは?手口や事例、対策方法について解説

2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォーム改ざんによる不正被害が拡大しています。

この記事では

  • フォームジャッキングとは何か
  • フォームジャッキング被害が増加している背景
  • フォームジャッキングを防ぐための対策

といった内容を解説します。

フォームジャッキングとは何か

フォームジャッキングとは、情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法を指します。

具体的には以下の2つの手口が確認されています。

手口①


1つ目の手口はリンク型決済です。

こちらの手口はECサイトを改ざんし、ユーザーが決済へ進むと偽のカード情報入力画面に誘導されます。

偽の画面にカード情報を入力し送信するとカード情報が不正者の元へ送信されてしまいます。

送信後、一度エラー表示となり正しい決済画面へと誘導されるためユーザーは情報を盗まれたことに気づきにくいです。

手口②


2つ目の手口はトークン型決済と呼ばれるもので、ユーザーが入力フォームにカード情報を入力し確認ボタンをクリックすると、そのフォームに仕掛けられたJavaScriptが作動してカード情報がカード会社だけでなく、不正者にも送信されてしまうという仕組みです。

こちらも正しい決済画面から知らぬ間にクレジットカード情報が盗まれてしまうのでユーザーが不正に気づくことは難しいです。

これらの「フォームジャッキング」は、実店舗のクレジットカード決済端末機(CAT)などにスキマーという装置を仕掛けてカード情報を盗み出す「スキミング」という手口になぞらえて”WEB版のスキミング”とも呼ばれています。

\不正発覚した時に企業としてどう対応しますか?/

フォームジャッキング増加の背景

フォームジャッキング増加の背景としては、皮肉なことですがECサイトなどでカード情報の非保持化が進んだことも理由に挙げられるでしょう。

2018年6月に施行された改正割賦販売法の、実務上の指針となっている「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-(実行計画2019)」では
対策の3本柱が述べられています。

●「実行計画」における対策の3本柱
1.クレジットカード情報保護対策:カード情報を盗らせない
2.クレジットカード偽造防止による不正利用対策:偽造カードを使わせない(主に実店舗)
3.非対面取引におけるクレジットカードの不正利用対策:なりすましをさせない(主にEC)

このうち 1 の対策として「加盟店におけるカード情報の非保持化」が記載されています。
ハッキングされて加盟店(EC事業者など)のサーバーに侵入されたとしても、そもそもカード情報を持っていなければ盗られようがありません。
(もちろん、侵入されてしまうこと自体は大きな問題ですが。)

そこで不正者は、情報がないなら入力させてしまえばいいと、フォームジャッキングという手口に移行してきたわけです。

ハッキングを防ぐことができれば、フォームジャッキングも含め加盟店に起因する流出は大きく減らせるはずですが、1社あたり一億円の投資が必要という専門家の意見もあり、現実的には難しいところです。

参考:金融情報流出、日本で急増 被害1兆円の試算│日本経済新聞

フォームジャッキングの被害を防ぐために

2019年5月、オープンソースのEC構築システム「EC-CUBE」を提供している株式会社イーシーキューブがフォームジャッキングに対する注意喚起を発表しました。ここではECサイト運営者にむけて効果の見込める対策や具体的なチェック事項を紹介しています。

参考:【重要】サイト改ざんによるクレジットカード流出被害が増加しています。│EC-CUBE

フォームジャッキングによるカード情報流出が多発している中、ECサイト運営者は利用しているサーバーやシステムのセキュリティ対策をこれまで以上に検討・実施していく必要があります。

フォームジャッキングへの対策

当サイトが考えるフォームジャッキングへの対策としては

  • 管理画面のURLを推測されにくいものにする
  • ファイアウォールの設定
  • WAFの導入
  • IPSの導入
  • IPアドレス認証
  • Basic認証

といったものが挙げられます。

フォームジャッキングは注文画面などの改ざんによって行われます。

改ざんのためには、ECサイト等のサーバー・管理画面への侵入が必要ですから、それを防ぐセキュリティ対策が有効です。

対策の1つとして、セキュリティ会社などが提供する「脆弱性診断」を受け、現状を知るのもおすすめです。

上記の対策について、詳しくは以下の記事をご覧ください。

フォームジャッキングの被害状況や防止策。ECサイト利用が増える今、不正検知や対策を。
2020.01.20
フォームジャッキングの被害状況や防止策。ECサイト利用が増える今、不正検知や対策を。
ECサイトなどの注文情報入力ページにコードを仕掛け、クレジットカード情報を盗みだすフォームジャッキング。 この記事ではフォームジャッキングによるカード情報の流出状況とEC事業者ができる防止策について紹介します。 ECサイトの構築・運営に関するお役立ち資...

また、当サイトを運営するかっこ株式会社は不正検知システムを提供しています。

不正検知に関するご相談は常に受け付けていますので、

  • 現状に不安がある
  • どんな不正対策から導入すればいいかわからない

といった方は、ぜひご相談ください。

不正検知サービスO-PLUX 公式サイト

1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

ピックアップ記事

  1. 【購入者向け】受取拒否のやり方や荷物の保管期間を過ぎてしまう時の対応について紹介…
  2. 不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
  3. ECサイトはセキュリティ対策が必須!導入時の重要なポイント4つを解説
  4. クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説
  5. 不正検知サービスは無料で利用できる?選ぶポイントやコストを抑えて導入できるサービ…

関連記事

  1. 不正アクセス・ログイン

    なりすましメールとは?仕組みや見分け方、7つの対策まで徹底解説

    なりすましメールとは、悪意ある第三者が企業や団体を騙り送信するメールの…

  2. 不正検知・ノウハウ

    クレジットカードの暗証番号とは?忘れた場合の対処法や設定方法を解説

    クレジットカードの暗証番号は、カード所有者であることを証明するためのも…

  3. セキュリティ用語

    ランサムウェアとは何か?リスクや手口、事例、対策を紹介

    ランサムウェア(Ransomware)と呼ばれる、身代金要求型の悪質な…

  4. 不正アクセス・ログイン

    リスト型攻撃とは?攻撃を受けた場合の被害の例や対策を解説!

    「リスト型攻撃はどんな手口で行われるの?」「リスト型攻撃にはどんな…

  5. セキュリティ用語

    マルウェアとは?種類や侵入経路、感染した場合の復帰手順を紹介

    「マルウェアとは何か知りたい」「マルウェアの感染に備えたい」…

  6. 不正検知・ノウハウ

    代金未回収のリスクを回避できるキャリア決済。導入する場合のメリット・デメリット

    「キャリア決済」を利用すると、EC事業者は購入者が契約するキャリア(電…

かっこ株式会社独自調査ECレポート
EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2025年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
かっこ株式会社独自調査ECレポート

お役立ち資料

EC不正事業者セルフチェックシート

  1. チャージバック

    チャージバックとは?不正が起こる原因と事業者が行うべき5つの対策

  2. ニュース・業界動向

    「ドコモ口座」不正利用にみる問題点と対策について

  3. セキュリティ用語

    決済代行会社とは何か?特徴や決済方法の動向を踏まえて解説
  4. ECCUBEとは

    EC構築・ノウハウ

    EC-CUBEとは?概要やメリット・導入するべき事業者を解説

  5. セキュリティ用語

    フィッシングサイトとは?偽物と公式の見分け方や被害事例、情報流出を守る方法も解説…
PAGE TOP