セキュリティ用語

増加するオンラインスキミングとは?その手口と被害をまとめました

ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。

この記事では

  • オンラインスキミングとは何か
  • オンラインスキミングの主な手口
  • オンラインスキミングを防ぐために取るべき対策

について解説します。

オンラインスキミングとは何か

オンラインスキミングとはECサイトなどに不正なコードを挿入し、利用者が入力した決済情報を盗む行為を指します。
ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。
さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。

オンラインスキミングの発生は日本だけではありません。
例えば、2018年9月にイギリスの航空会社British Airwaysのオンラインストアが、2019年4月にはアメリカとカナダで200以上の大学のオンラインストアが、サイバー犯罪集団グループMagecartからハッキングを受けたという報道がありました。

手口としてはオンラインストアにJavaScriptのコードを埋め込み、支払いフォームに入力される情報(クレジット番号、名前、住所など)を窃取し、遠隔のサーバーに送信するといったものです。
このようにオンラインスキミングの被害は海外の大手ECサイトなどでも報告されています。

オンラインスキミングの主な手口

ECサイトの改ざんによるオンラインスキミングの手口から、増加しているものをご紹介します。

1.偽決済ページヘの誘導

1つ目は偽物の決済情報入力ページへ誘導し、クレジットカード情報を窃取する手法です。

この手口ではECサイトが改ざんされ、商品カートから決済入力画面に移行する際に偽造された決済代行会社の決済サイトに誘導されます。
利用者が偽造されたサイトのクレジットカード情報入力フォームにて情報を入力し決済を行うとエラーメッセージが表示され、その間にクレジットカードの情報等が遠隔のサーバーに送信されます。
その後、正規の決済代行会社の決済サイトに戻され正規の決済手続に移行します。そのため、商品購入の手続きも通常通り行えて後日商品も届くことでクレジットカード情報が盗まれたことに気づきにくいです。

2.不正者への情報送信

2つ目はECサイトにスクリプトを埋め込むことにより不正者へ情報を送信する手法です。

こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。
利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。こちらの手口も正規のカード情報入力フォームが改ざんされているため、利用者はクレジットカード情報が盗まれたことに気づくことは困難です。

オンラインスキミングを防ぐために取るべき対策

ここで紹介したオンラインスキミングの手口はいずれもサイトの改ざんを防ぐことで対策できます。

  • ミドルウェアやプラットフォームなどのアップデート実施
  • 管理者アカウントのパスワード強化
  • 管理者アカウントへの二要素認証の導入

といった対応で脆弱性を極力なくし、不正なログインからの改ざんも防ぐようにしましょう。

オンラインショッピングの普及と共にオンラインスキミングの被害も増加し、EC事業者は情報漏洩や不正利用情報漏洩への対策が求められています。

ピックアップ記事

  1. セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…
  2. テレワーク時代における効果的なセキュリティ対策について
  3. EC事業者が対策したい「カゴ落ち」とは
  4. キャッシュレスとは?何が変わるのかを消費者、事業者の視点から解説
  5. 【購入者向け】受取拒否や身に覚えのない荷物への対応について

関連記事

  1. セキュリティ用語

    クレジット業界におけるイシュアとは何か?役割やアクワイアラとの違いについて解説

    「イシュア」という用語はクレジット業界で用いられますが、この記事では…

  2. セキュリティ用語

    クレジットカード業界におけるオンアス取引とオフアス取引の違いは何か?

    オンアス取引・オフアス取引とはクレジットカード業界における取引の種類を…

  3. セキュリティ用語

    フォームジャッキングとは?手口や事例、対策方法について解説

    2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォ…

  4. 不正検知・ノウハウ

    改正割賦販売法の内容とは?実行計画も含めて解説

    割賦販売(かっぷはんばい)やクレジットカードでの後払いを適切に規制…

  5. セキュリティ用語

    オーソリゼーション(オーソリ)とは?利用目的や仕組みを解説

    オーソリゼーション(authorization)とは、直訳すると権限付…

おすすめ記事

  1. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  2. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  3. テレワーク時代における効果的なセキュリティ対策について
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
  5. QRコード決済からのカード情報の不正流出と不正利用防止対策に…

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. ニュース・業界動向

    2020最新!ECサイトにおける2019年のクレジットカード情報流出件数は約34…
  2. ニュース・業界動向

    「ドコモ口座」不正利用にみる問題点と対策について
  3. 不正アクセス

    不正アクセスの手口とは?2019年の不正アクセス行為の発生状況と併せて解説
  4. 不正検知・ノウハウ

    セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…
  5. 不正検知・ノウハウ

    不正検知ソリューションとは何か?不正使用を防ぐために必要な対策
PAGE TOP