セキュリティ用語

フォームジャッキングとは?手口や事例、対策方法について解説

2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォーム改ざんによる不正被害が拡大しています。

この記事では

  • フォームジャッキングとは何か
  • フォームジャッキング被害が増加している背景
  • フォームジャッキングを防ぐための対策

といった内容を解説します。

フォームジャッキングとは何か

フォームジャッキングとは、情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法を指します。

具体的には以下の2つの手口が確認されています。

手口①


1つ目の手口はリンク型決済です。

こちらの手口はECサイトを改ざんし、ユーザーが決済へ進むと偽のカード情報入力画面に誘導されます。

偽の画面にカード情報を入力し送信するとカード情報が不正者の元へ送信されてしまいます。

送信後、一度エラー表示となり正しい決済画面へと誘導されるためユーザーは情報を盗まれたことに気づきにくいです。

手口②


2つ目の手口はトークン型決済と呼ばれるもので、ユーザーが入力フォームにカード情報を入力し確認ボタンをクリックすると、そのフォームに仕掛けられたJavaScriptが作動してカード情報がカード会社だけでなく、不正者にも送信されてしまうという仕組みです。

こちらも正しい決済画面から知らぬ間にクレジットカード情報が盗まれてしまうのでユーザーが不正に気づくことは難しいです。

これらの「フォームジャッキング」は、実店舗のクレジットカード決済端末機(CAT)などにスキマーという装置を仕掛けてカード情報を盗み出す「スキミング」という手口になぞらえて”WEB版のスキミング”とも呼ばれています。

フォームジャッキング増加の背景

フォームジャッキング増加の背景としては、皮肉なことですがECサイトなどでカード情報の非保持化が進んだことも理由に挙げられるでしょう。

2018年6月に施行された改正割賦販売法の、実務上の指針となっている「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-(実行計画2019)」では
対策の3本柱が述べられています。

●「実行計画」における対策の3本柱
1.クレジットカード情報保護対策:カード情報を盗らせない
2.クレジットカード偽造防止による不正利用対策:偽造カードを使わせない(主に実店舗)
3.非対面取引におけるクレジットカードの不正利用対策:なりすましをさせない(主にEC)

このうち 1 の対策として「加盟店におけるカード情報の非保持化」が記載されています。
ハッキングされて加盟店(EC事業者など)のサーバーに侵入されたとしても、そもそもカード情報を持っていなければ盗られようがありません。
(もちろん、侵入されてしまうこと自体は大きな問題ですが。)

そこで不正者は、情報がないなら入力させてしまえばいいと、フォームジャッキングという手口に移行してきたわけです。

ハッキングを防ぐことができれば、フォームジャッキングも含め加盟店に起因する流出は大きく減らせるはずですが、1社あたり一億円の投資が必要という専門家の意見もあり、現実的には難しいところです。

参考:金融情報流出、日本で急増 被害1兆円の試算│日本経済新聞

フォームジャッキングの被害を防ぐために

2019年5月、オープンソースのEC構築システム「EC-CUBE」を提供している株式会社イーシーキューブがフォームジャッキングに対する注意喚起を発表しました。ここではECサイト運営者にむけて効果の見込める対策や具体的なチェック事項を紹介しています。

参考:【重要】サイト改ざんによるクレジットカード流出被害が増加しています。│EC-CUBE

フォームジャッキングによるカード情報流出が多発している中、ECサイト運営者は利用しているサーバーやシステムのセキュリティ対策をこれまで以上に検討・実施していく必要があります。

フォームジャッキングへの対策

当サイトが考えるフォームジャッキングへの対策としては

  • 管理画面のURLを推測されにくいものにする
  • ファイアウォールの設定
  • WAFの導入
  • IPSの導入
  • IPアドレス認証
  • Basic認証

といったものが挙げられます。

フォームジャッキングは注文画面などの改ざんによって行われます。

改ざんのためには、ECサイト等のサーバー・管理画面への侵入が必要ですから、それを防ぐセキュリティ対策が有効です。

対策の1つとして、セキュリティ会社などが提供する「脆弱性診断」を受け、現状を知るのもおすすめです。

上記の対策について、詳しくは以下の記事をご覧ください。

また、当サイトを運営するかっこ株式会社は不正検知システムを提供しています。

不正検知に関するご相談は常に受け付けていますので、

  • 現状に不安がある
  • どんな不正対策から導入すればいいかわからない

といった方は、ぜひご相談ください。


アクセスから注文まで一貫して対応 かっこの不正検知サービス

ピックアップ記事

  1. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  2. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ事例も紹介
  3. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスクや対策も紹介

関連記事

  1. セキュリティ用語

    決済代行会社とは何か?特徴や決済方法の動向を踏まえて解説

    クレジットカード決済やコンビニ支払いなど様々な決済方法を自社のECサイ…

  2. セキュリティ用語

    ランサムウェアとは?起こる被害や防ぐための対策を紹介

    ランサムウェア(Ransomware)と呼ばれる、身代金要求型の悪質な…

  3. 不正検知・ノウハウ

    代金未回収のリスクを回避できるキャリア決済。導入する場合のメリット・デメリット

    「キャリア決済」を利用すると、EC事業者は購入者が契約するキャリア(電…

  4. セキュリティ用語

    不正トラベルとは?その手口を図解・解説

    旅行サービス(宿泊施設・航空券・テーマパークのチケット等)を提供する事…

  5. セキュリティ用語

    オーソリゼーション(オーソリ)とは?利用目的や仕組みを解説

    オーソリゼーション(authorization)とは、直訳すると権限付…

  6. セキュリティ用語

    サイバー攻撃とは?効果的な対策・検知方法・種類を解説

    「サイバー攻撃」と一言で表しても、その手口や種類は様々です。 …

2022年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
今すぐできる!不正リスクの無料セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

おすすめ記事

  1. 不正アクセスとは? 主な原因や巧妙な手口、4つの対策例を紹介…
  2. 【2022年最新】クレジットカードの不正利用被害は過去最高額…
  3. クレジットマスターの手口や被害とは?不正利用を防ぐための対策…
  4. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリス…
  5. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2022年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. クレジットカード 不正 EC

    データ&レポート

    クレジットカードの不正利用はEC事業者負担!ECサイトの不正の傾向や現状【かっこ…
  2. 3Dセキュア

    ECサイトに3Dセキュア2.0は必要?メリット・デメリットを解説!
  3. ニュース・業界動向

    クレジットカード情報流出に気付きにくい!? 国内で利用したつもりが、グローバル企…
  4. セキュリティ用語

    クレジットカードのセキュリティコードとは|クレカの不正対策や注意点を解説
  5. コンプライアンス

    コンプライアンスチェックとは?必要な理由や5つの具体的方法も紹介
PAGE TOP