セキュリティ用語

増加するオンラインスキミングとは?その手口と被害をまとめました

ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。

この記事では

  • オンラインスキミングとは何か
  • オンラインスキミングの主な手口
  • オンラインスキミングを防ぐために取るべき対策

について解説します。

オンラインスキミングとは何か

オンラインスキミングとはECサイトなどに不正なコードを挿入し、利用者が入力した決済情報を盗む行為を指します。
ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。
さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。

オンラインスキミングの発生は日本だけではありません。
例えば、2018年9月にイギリスの航空会社British Airwaysのオンラインストアが、2019年4月にはアメリカとカナダで200以上の大学のオンラインストアが、サイバー犯罪集団グループMagecartからハッキングを受けたという報道がありました。

手口としてはオンラインストアにJavaScriptのコードを埋め込み、支払いフォームに入力される情報(クレジット番号、名前、住所など)を窃取し、遠隔のサーバーに送信するといったものです。
このようにオンラインスキミングの被害は海外の大手ECサイトなどでも報告されています。

オンラインスキミングの主な手口

ECサイトの改ざんによるオンラインスキミングの手口から、増加しているものをご紹介します。

1.偽決済ページヘの誘導

1つ目は偽物の決済情報入力ページへ誘導し、クレジットカード情報を窃取する手法です。

この手口ではECサイトが改ざんされ、商品カートから決済入力画面に移行する際に偽造された決済代行会社の決済サイトに誘導されます。
利用者が偽造されたサイトのクレジットカード情報入力フォームにて情報を入力し決済を行うとエラーメッセージが表示され、その間にクレジットカードの情報等が遠隔のサーバーに送信されます。
その後、正規の決済代行会社の決済サイトに戻され正規の決済手続に移行します。そのため、商品購入の手続きも通常通り行えて後日商品も届くことでクレジットカード情報が盗まれたことに気づきにくいです。

2.不正者への情報送信

2つ目はECサイトにスクリプトを埋め込むことにより不正者へ情報を送信する手法です。

こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。
利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。こちらの手口も正規のカード情報入力フォームが改ざんされているため、利用者はクレジットカード情報が盗まれたことに気づくことは困難です。

オンラインスキミングを防ぐために取るべき対策

ここで紹介したオンラインスキミングの手口はいずれもサイトの改ざんを防ぐことで対策できます。

  • ミドルウェアやプラットフォームなどのアップデート実施
  • 管理者アカウントのパスワード強化
  • 管理者アカウントへの二要素認証の導入

といった対応で脆弱性を極力なくし、不正なログインからの改ざんも防ぐようにしましょう。

オンラインショッピングの普及と共にオンラインスキミングの被害も増加し、EC事業者は情報漏洩や不正利用情報漏洩への対策が求められています。

ピックアップ記事

  1. セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…
  2. キャッシュレスとは?何が変わるのかを消費者、事業者の視点から解説
  3. 受取拒否にならないようにするには
  4. 後払い決済の手順や支払い方法は?購入者にとってのメリット・デメリットや未払い時の…
  5. なりすましによる不正の被害内容と具体的な対策(不正検知)について 

関連記事

  1. セキュリティ用語

    クレジット業界におけるイシュアとは何か?役割やアクワイアラとの違いについて解説

    「イシュア」という用語はクレジット業界で用いられますが、この記事では…

  2. セキュリティ用語

    フォームジャッキングとは?手口や事例、対策方法について解説

    2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォ…

  3. セキュリティ用語

    オーソリゼーション(オーソリ)とは何か?

    オーソリゼーション(authorization)とは、直訳すると権限付…

  4. 不正検知・ノウハウ

    改正割賦販売法とはどんな法律?具体的な内容と、実行計画を解説

    割賦販売(かっぷはんばい)やクレジットカードでの後払いを適切に規制…

  5. セキュリティ用語

    決済代行会社とは何か?特徴や決済方法の動向を踏まえて解説

    クレジットカード決済やコンビニ支払いなど様々な決済方法を自社のECサイ…

おすすめ記事

  1. なりすましによる不正の被害内容と具体的な対策(不正検知)につ…
  2. コード決済(QRコード決済)における不正流出したクレジットカ…
  3. 受取拒否にならないようにするには
  4. 後払い決済の手順や支払い方法は?購入者にとってのメリット・デ…
  5. 不正検知システムとは?「取引データや分析結果から決済前に危険…

ECサイト不正利用。巧妙化する手口


PR

  1. 不正検知・ノウハウ

    【初心者でも安心】クレジットカードの仕組みと注意点、メリットやデメリットをまとめ…
  2. 不正検知・ノウハウ

    不正検知システムとは?「取引データや分析結果から決済前に危険性を判断する」仕組み…
  3. ニュース・業界動向

    インバウンドの増加に伴い需要が高まるキャッシュレス化
  4. ニュース・業界動向

    ドイツ警察がNATO施設跡のダークウェブデータセンターを強制捜査。クレジットカー…
  5. セキュリティ用語

    クレジットカードのセキュリティコードはなぜあるの?変更や間違えた場合の対処方法も…
PAGE TOP