セキュリティ用語

  •  PR 

増加するオンラインスキミングとは?その手口と被害をまとめました

ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミングという手口が発生しています。

この記事では

  • オンラインスキミングとは何か
  • オンラインスキミングの主な手口
  • オンラインスキミングを防ぐために取るべき対策

について解説します。

オンラインスキミングとは何か

オンラインスキミングとは、ECサイトなどに不正なコードを挿入し利用者が入力した決済情報を盗む行為を指します。
ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。
さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。

オンラインスキミングの発生は日本だけではありません。
例えば、2018年9月にイギリスの航空会社British Airwaysのオンラインストアが、2019年4月にはアメリカとカナダで200以上の大学のオンラインストアが、サイバー犯罪集団グループMagecartからハッキングを受けたという報道がありました。

手口としてはオンラインストアにJavaScriptのコードを埋め込み、支払いフォームに入力される情報(クレジット番号、名前、住所など)を窃取し、遠隔のサーバーに送信するといったものです。
このようにオンラインスキミングの被害は海外の大手ECサイトなどでも報告されています。

オンラインスキミングの主な手口

ECサイトの改ざんによるオンラインスキミングの手口から、増加しているものをご紹介します。

1.偽決済ページヘの誘導

1つ目は、偽物の決済情報入力ページへ誘導しクレジットカード情報を窃取する手法です。

この手口ではECサイトが改ざんされ、商品カートから決済入力画面に移行する際に偽造された決済代行会社の決済サイトに誘導されます。

利用者が偽造されたサイトのクレジットカード情報入力フォームにて情報を入力し決済を行うとエラーメッセージが表示され、その間にクレジットカードの情報等が遠隔のサーバーに送信されます。

その後、正規の決済代行会社の決済サイトに戻され正規の決済手続に移行します。そのため、商品購入の手続きも通常通り行えて後日商品も届くことでクレジットカード情報が盗まれたことに気づきにくいです。

2.不正者への情報送信

2つ目は、ECサイトにスクリプトを埋め込むことにより不正者へ情報を送信する手法です。

こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。
利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

こちらの手口も正規のカード情報入力フォームが改ざんされているため、利用者はクレジットカード情報が盗まれたことに気づくことは困難です。

オンラインスキミングを防ぐために取るべき対策

ここで紹介したオンラインスキミングの手口はいずれもサイトの改ざんを防ぐことで対策できます。

  • ミドルウェアやプラットフォームなどのアップデート実施
  • 管理者アカウントのパスワード強化
  • 管理者アカウントへの二要素認証の導入

といった対応で脆弱性を極力なくし、不正なログインからの改ざんも防ぐようにしましょう。

オンラインショッピングの普及と共にオンラインスキミングの被害も増加し、EC事業者は情報漏洩や不正利用情報漏洩への対策が求められています。

ピックアップ記事

  1. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  3. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  4. 不正アクセスを検知する「不正検知システム」とは?
  5. 【購入者向け】受取拒否のやり方や荷物の保管期間を過ぎてしまう時の対応について紹介…

関連記事

  1. 不正アクセス

    eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

    「eKYCとはどういう意味で、どのような特徴があるのだろう?」「e…

  2. セキュリティ用語

    オンライン決済とは?代表的な8つの種類やメリット・デメリットを解説

    オンライン決済とは、インターネットを利用して商品・サービスの支払いをお…

  3. セキュリティ用語

    決済代行とは?仕組みや利用する6つのメリットを解説

    決済代行とは、EC事業者様と各決済機関との間に入り、決済を代行すること…

  4. セキュリティ用語

    クレジットカード業界におけるオンアス取引とオフアス取引の違いは何か?

    オンアス取引・オフアス取引とはクレジットカード業界における取引の種類を…

  5. Pマーク(プライバシーマーク)

    セキュリティ用語

    Pマーク(プライバシーマーク)の取得方法や費用、取得するメリット5つを紹介

    「Pマークの取得方法が知りたい」「そもそもPマークを取得するメリッ…

  6. セキュリティ用語

    ランサムウェアとは何か?リスクや手口、事例、対策を紹介

    ランサムウェア(Ransomware)と呼ばれる、身代金要求型の悪質な…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?原因と不正注文を防ぐ仕組み
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. EC構築・ノウハウ

    ECサイトの停止事例・情報漏洩が与えるダメージと3つの対策を解説
  2. ニュース・業界動向

    オリンピックに採用される顔認証システムのこれから
  3. 不正検知・ノウハウ

    初回限定品を狙った不正注文・転売の対策方法7選
  4. チャージバック

    チャージバックの申請方法を解説!増加するチャージバックに悩むEC事業者へのアドバ…
  5. ニュース・業界動向

    メタバースのコマース市場に起こる3つの影響とは?参入企業の事例や課題を解説
PAGE TOP