セキュリティ用語

フォームジャッキングとは?手口や事例、対策方法について解説

2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォーム改ざんによる不正被害が拡大しています。

この記事では

  • フォームジャッキングとは何か
  • フォームジャッキング被害が増加している背景
  • フォームジャッキングを防ぐための対策

といった内容を解説します。

フォームジャッキングとは何か

フォームジャッキングとは、情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法を指します。

具体的には以下の2つの手口が確認されています。

手口①


1つ目の手口はリンク型決済です。

こちらの手口はECサイトを改ざんし、ユーザーが決済へ進むと偽のカード情報入力画面に誘導されます。

偽の画面にカード情報を入力し送信するとカード情報が不正者の元へ送信されてしまいます。

送信後、一度エラー表示となり正しい決済画面へと誘導されるためユーザーは情報を盗まれたことに気づきにくいです。

手口②


2つ目の手口はトークン型決済と呼ばれるもので、ユーザーが入力フォームにカード情報を入力し確認ボタンをクリックすると、そのフォームに仕掛けられたJavaScriptが作動してカード情報がカード会社だけでなく、不正者にも送信されてしまうという仕組みです。

こちらも正しい決済画面から知らぬ間にクレジットカード情報が盗まれてしまうのでユーザーが不正に気づくことは難しいです。

これらの「フォームジャッキング」は、実店舗のクレジットカード決済端末機(CAT)などにスキマーという装置を仕掛けてカード情報を盗み出す「スキミング」という手口になぞらえて”WEB版のスキミング”とも呼ばれています。

フォームジャッキング増加の背景

フォームジャッキング増加の背景としては、皮肉なことですがECサイトなどでカード情報の非保持化が進んだことも理由に挙げられるでしょう。

2018年6月に施行された改正割賦販売法の、実務上の指針となっている「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-(実行計画2019)」では
対策の3本柱が述べられています。

●「実行計画」における対策の3本柱
1.クレジットカード情報保護対策:カード情報を盗らせない
2.クレジットカード偽造防止による不正利用対策:偽造カードを使わせない(主に実店舗)
3.非対面取引におけるクレジットカードの不正利用対策:なりすましをさせない(主にEC)

このうち 1 の対策として「加盟店におけるカード情報の非保持化」が記載されています。
ハッキングされて加盟店(EC事業者など)のサーバーに侵入されたとしても、そもそもカード情報を持っていなければ盗られようがありません。
(もちろん、侵入されてしまうこと自体は大きな問題ですが。)

そこで不正者は、情報がないなら入力させてしまえばいいと、フォームジャッキングという手口に移行してきたわけです。

ハッキングを防ぐことができれば、フォームジャッキングも含め加盟店に起因する流出は大きく減らせるはずですが、1社あたり一億円の投資が必要という専門家の意見もあり、現実的には難しいところです。

参考:金融情報流出、日本で急増 被害1兆円の試算│日本経済新聞

フォームジャッキングの被害を防ぐために

2019年5月、オープンソースのEC構築システム「EC-CUBE」を提供している株式会社イーシーキューブがフォームジャッキングに対する注意喚起を発表しました。ここではECサイト運営者にむけて効果の見込める対策や具体的なチェック事項を紹介しています。

参考:【重要】サイト改ざんによるクレジットカード流出被害が増加しています。│EC-CUBE

フォームジャッキングによるカード情報流出が多発している中、ECサイト運営者は利用しているサーバーやシステムのセキュリティ対策をこれまで以上に検討・実施していく必要があります。

当サイトでもセキュリティ対策に役立つ情報を随時更新しています。

フォームジャッキングを防ぐための対策に関してはこちらの記事で詳しくご紹介しているのでぜひご参照ください。

ピックアップ記事

  1. キャッシュレスとは?何が変わるのかを消費者、事業者の視点から解説
  2. 【購入者向け】受取拒否や身に覚えのない荷物への対応について
  3. 不正検知システムとは?「クレジットカード等の決済前に危険性判断する」仕組みや導入…
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 
  5. セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…

関連記事

  1. チャージバック

    チャージバックとは?クレジットカードの悪用や不正利用による消費者の損害を防ぐ仕組み

    クレジットカードの不正利用から消費者を守る、「チャージバック」とい…

  2. セキュリティ用語

    不正トラベルとは?その手口を図解・解説

    旅行サービス(宿泊施設・航空券・テーマパークのチケット等)を提供する事…

  3. セキュリティ用語

    サイバー保険とは何か?必要性やメリットについて

    サイバー保険とは、主に企業を対象として「サイバー攻撃」による損害を補償…

  4. 不正検知・ノウハウ

    代金未回収のリスクを回避できるキャリア決済。導入する場合のメリット・デメリット

    「キャリア決済」を利用すると、EC事業者は購入者が契約するキャリア(電…

  5. セキュリティ用語

    オーソリゼーション(オーソリ)とは何か?

    オーソリゼーション(authorization)とは、直訳すると権限付…

  6. セキュリティ用語

    アドフラウド(adfraud)とは

    「アドフラウド」という言葉はご存知ですか?ブロガーやYouTube…

おすすめ記事

  1. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  2. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  3. テレワーク時代における効果的なセキュリティ対策について
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
  5. QRコード決済からのカード情報の不正流出と不正利用防止対策に…

ECサイト不正利用。巧妙化する手口


お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    クレジットカードで不正注文をされないよう購入者ができる対策と、チャージバックの仕…
  2. セキュリティ用語

    増加するオンラインスキミングとは?その手口と被害をまとめました
  3. チャージバック

    チャージバック保険で損失を最小限に。導入したい不正利用対策もご紹介
  4. 不正検知・ノウハウ

    アドフラウド(adfraud)の具体的な手口と適切な対策方法
  5. ニュース・業界動向

    キャッシュレスとは?何が変わるのかを消費者、事業者の視点から解説
PAGE TOP