セキュリティ用語

増加するオンラインスキミングとは?その手口と被害をまとめました

ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。

この記事では

  • オンラインスキミングとは何か
  • オンラインスキミングの主な手口
  • オンラインスキミングを防ぐために取るべき対策

について解説します。

オンラインスキミングとは何か

オンラインスキミングとは、ECサイトなどに不正なコードを挿入し利用者が入力した決済情報を盗む行為を指します。
ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。
さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。

オンラインスキミングの発生は日本だけではありません。
例えば、2018年9月にイギリスの航空会社British Airwaysのオンラインストアが、2019年4月にはアメリカとカナダで200以上の大学のオンラインストアが、サイバー犯罪集団グループMagecartからハッキングを受けたという報道がありました。

手口としてはオンラインストアにJavaScriptのコードを埋め込み、支払いフォームに入力される情報(クレジット番号、名前、住所など)を窃取し、遠隔のサーバーに送信するといったものです。
このようにオンラインスキミングの被害は海外の大手ECサイトなどでも報告されています。

オンラインスキミングの主な手口

ECサイトの改ざんによるオンラインスキミングの手口から、増加しているものをご紹介します。

1.偽決済ページヘの誘導

1つ目は、偽物の決済情報入力ページへ誘導しクレジットカード情報を窃取する手法です。

この手口ではECサイトが改ざんされ、商品カートから決済入力画面に移行する際に偽造された決済代行会社の決済サイトに誘導されます。

利用者が偽造されたサイトのクレジットカード情報入力フォームにて情報を入力し決済を行うとエラーメッセージが表示され、その間にクレジットカードの情報等が遠隔のサーバーに送信されます。

その後、正規の決済代行会社の決済サイトに戻され正規の決済手続に移行します。そのため、商品購入の手続きも通常通り行えて後日商品も届くことでクレジットカード情報が盗まれたことに気づきにくいです。

2.不正者への情報送信

2つ目は、ECサイトにスクリプトを埋め込むことにより不正者へ情報を送信する手法です。

こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。
利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

こちらの手口も正規のカード情報入力フォームが改ざんされているため、利用者はクレジットカード情報が盗まれたことに気づくことは困難です。

オンラインスキミングを防ぐために取るべき対策

ここで紹介したオンラインスキミングの手口はいずれもサイトの改ざんを防ぐことで対策できます。

  • ミドルウェアやプラットフォームなどのアップデート実施
  • 管理者アカウントのパスワード強化
  • 管理者アカウントへの二要素認証の導入

といった対応で脆弱性を極力なくし、不正なログインからの改ざんも防ぐようにしましょう。

オンラインショッピングの普及と共にオンラインスキミングの被害も増加し、EC事業者は情報漏洩や不正利用情報漏洩への対策が求められています。

ピックアップ記事

  1. 【保存版】企業ができるサイバー攻撃への対策
  2. 不正アクセスを検知する「不正検知システム」とは?
  3. サイバー攻撃とは?26種類の手口と事例、対策を徹底紹介
  4. 不正アクセスとは?主な原因や巧妙な手口、4つの対策例を紹介
  5. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法も解説!

関連記事

  1. セキュリティ用語

    クレジットカード業界におけるオンアス取引とオフアス取引の違いは何か?

    オンアス取引・オフアス取引とはクレジットカード業界における取引の種類を…

  2. セキュリティ用語

    クレジットカードのセキュリティコードとは|クレカの不正対策や注意点を解説

    海外旅行中やインターネットショッピングでも便利なクレジットカード。…

  3. 不正検知・ノウハウ

    改正割賦販売法の内容とは?実行計画も含めて解説

    割賦販売(かっぷはんばい)やクレジットカードでの後払いを適切に規制…

  4. セキュリティ用語

    フォームジャッキングとは?手口や事例、対策方法について解説

    2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォ…

  5. 不正アクセス

    なりすましメールの狙いや手口とは?6つの対処法も紹介

    「なりすましメールとはなんなのか知りたい」「どのような見分け方や対…

  6. セキュリティ用語

    オーソリゼーション(オーソリ)とは?利用目的や仕組みを解説

    オーソリゼーション(authorization)とは、直訳すると権限付…

今すぐできる!不正リスクの無料セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
いざという時に。不正アクセス被害後の対応手順マニュアル

おすすめ記事

  1. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  2. 不正アクセスとは?主な原因や巧妙な手口、4つの対策例を紹介
  3. 【2022年最新】クレジットカードの不正利用被害は過去最高額…
  4. クレジットマスターの手口や被害とは?不正利用を防ぐための対策…
  5. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリス…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    ECサイト事業者向け「なりすまし」への対策と「なりすましECサイト」について
  2. チャージバック

    泣き寝入りするしかない?チャージバックが発生した際の3つの対処法
  3. ニュース・業界動向

    メタバースのコマース市場に起こる3つの影響とは?参入企業の事例や課題を解説
  4. 不正検知・ノウハウ

    【動画有】iPhoneの警告「このパスワードはデータ漏えいで検出されたことがある…
  5. 不正アクセス

    不正アクセスで情報漏洩が発生したらどうする?5つのすぐに対応すべきこと
PAGE TOP