いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】通販サイトでの「ウェブスキミング」に業界団体が注意喚起

作成日: 更新日:

ITニュース概要

日本通信販売協会(JADMA)は、通販サイトで利用者の個人情報が盗まれる「ウェブスキミング」被害を確認し、会員事業者に注意を促した。サイトのセキュリティ対策強化が求められる。

出典: 通販サイトでの「ウェブスキミング」に業界団体が注意喚起 | セキュリティNEXT公開日:

ITニュース解説

日本通信販売協会(JADMA)が、eコマースサイトにおいて「ウェブスキミング」というサイバー攻撃による個人情報窃取の被害が確認されているとして、会員事業者に対して注意喚起を行ったというニュースがあった。これは、オンラインで商品を購入する際に、知らぬ間にクレジットカード情報や個人情報が盗まれる深刻な脅威であり、システムエンジニアを目指す者として、この攻撃の手口と対策を深く理解することは非常に重要である。 まず、ウェブスキミングとは何か。これは、実店舗でクレジットカードの磁気情報を不正に読み取る「スキミング」を、ウェブサイト上で行う手法だ。攻撃者は、eコマースサイトの決済ページなど、ユーザーが個人情報やクレジットカード情報を入力する部分に、悪意のあるプログラムコードを密かに仕込む。ユーザーが正規のサイトで情報を入力しているつもりでいる間に、その情報がリアルタイムで攻撃者のサーバーへ送信され、窃取されてしまう。ユーザーは購入が正常に完了したと思い込むため、被害に気づきにくいという点がこの攻撃のやっかいな特徴である。 具体的な手口としては、主にJavaScriptというウェブサイトの動きを制御するプログラミング言語が悪用されることが多い。攻撃者は、まず何らかの手段でeコマースサイトのサーバーに侵入するか、あるいはそのサイトが利用している外部サービス(例えば、アクセス解析ツールや広告配信サービス、共通の決済システムなど)のサーバーに侵入する。そして、ユーザーがアクセスするウェブページに、個人情報を窃取するための不正なJavaScriptコードを挿入するのだ。 侵入経路としては、ウェブサイトの脆弱性、つまりプログラムの設計ミスや設定不備などが悪用されるケースが一般的だ。例えば、ウェブサーバーのOSやウェブアプリケーションを動かすためのミドルウェア、コンテンツ管理システム(CMS)などが古いバージョンで使用されており、セキュリティパッチが適用されていない場合、攻撃者はその既知の脆弱性を突いて不正に侵入し、悪質なコードを埋め込む。また、「サプライチェーン攻撃」と呼ばれる手法も使われる。これは、目的のECサイト自体を直接攻撃するのではなく、そのECサイトが利用している外部のサービスやソフトウェアコンポーネントを狙って侵入し、そこから不正なコードを配布させる方法だ。例えば、複数のECサイトが共通で利用している外部のスクリプトやCDN(コンテンツデリバリーネットワーク)などが攻撃されると、多くのサイトが一斉にウェブスキミングの被害に遭う可能性があり、その影響は甚大になる。 ユーザーがECサイトで商品を選び、氏名や住所、クレジットカード情報などを入力して購入ボタンを押すと、この不正なJavaScriptコードが入力された情報を読み取り、攻撃者が用意した外部のサーバーへ秘密裏に送信してしまう。ユーザーのブラウザ上では決済が正常に完了したように見えるため、情報が盗まれたことに気づかず、後日クレジットカードの不正利用などによって被害が発覚するケースがほとんどだ。 盗まれた個人情報やクレジットカード情報は、インターネットの闇市場で売買されたり、即座に不正なオンラインショッピングに悪用されたりする。ユーザーは身に覚えのない請求に悩まされ、金銭的な損害を被るだけでなく、個人情報が漏洩したことによるフィッシング詐欺やなりすましといった二次被害に巻き込まれるリスクも高まる。事業者側にとっても、顧客からの信頼喪失、ブランドイメージの毀損、個人情報保護法に基づく法的責任、そしてセキュリティ対策の強化にかかる多大なコストなど、計り知れない損害が発生することになる。 このようなウェブスキミングの被害を防ぐためには、事業者側で多層的なセキュリティ対策を講じることが不可欠だ。システムエンジニアは、これらの対策の設計、実装、運用において中心的な役割を担う。 具体的な対策としては、まずウェブサイト自体のセキュリティ強化が挙げられる。定期的な脆弱性診断を実施し、自社のウェブサイトやウェブアプリケーションに潜在するセキュリティ上の弱点を洗い出し、迅速に修正することが求められる。ウェブサーバーのOSやミドルウェア、ウェブアプリケーションのフレームワークなどは常に最新のバージョンを維持し、セキュリティパッチが公開されたら遅滞なく適用することで、既知の脆弱性を悪用されるリスクを大幅に低減できる。さらに、WAF(Web Application Firewall)を導入し、ウェブアプリケーションへの不正なアクセスや攻撃を検知・防御する。WAFは、SQLインジェクションやクロスサイトスクリプティングといったウェブアプリケーション特有の脆弱性を狙う攻撃からサイトを保護する効果が高い。また、コンテンツセキュリティポリシー(CSP)を導入し、ウェブサイトが読み込むことができるリソース(スクリプト、スタイルシートなど)のソースを厳しく制限することで、不正なスクリプトが外部から読み込まれたり、実行されたりするのを防ぐことができる。 次に、開発・運用環境のセキュリティ強化も重要だ。サーバーや管理画面へのアクセスは、最小限の担当者に限定し、多要素認証を義務付けるなど、認証の仕組みを厳格化する必要がある。また、サーバーのログを定期的に監視し、異常なアクセスやファイルの変更がないかチェックする。SIEM(Security Information and Event Management)などのツールを活用し、セキュリティイベントの自動検知とアラートを出す仕組みを構築することも有効だ。本番環境と開発・テスト環境を厳密に分離し、開発環境が攻撃を受けたとしても本番環境に影響が及ばないようにする工夫も求められる。 さらに、外部サービス連携におけるサプライチェーンセキュリティの意識も欠かせない。ウェブサイトに組み込む外部の広告スクリプト、アクセス解析ツール、SNS連携ボタンなどは、信頼できるベンダーのものだけを選び、そのセキュリティを定期的に評価する必要がある。利用する外部サービスが攻撃され、不正なコードを埋め込まれてしまうリスクを常に意識し、外部ベンダーとの契約時にはセキュリティに関する明確な要件を含めることが重要となる。 最後に、従業員のセキュリティ意識向上も非常に重要な対策だ。従業員全員に対し、フィッシング詐欺メールの見分け方や不審なウェブサイトへのアクセスを避けるといった、セキュリティに関する定期的な教育を実施する。内部からの情報漏洩を防ぐ上で、ヒューマンエラー対策は技術的な対策と同様に、非常に大きな意味を持つ。 ウェブスキミングは、利用者にとって非常に巧妙で気づきにくいサイバー攻撃である。システムエンジニアを目指す者としては、このような攻撃の手法を深く理解し、それに対抗するための多角的なセキュリティ対策を設計、実装、運用できる能力が不可欠だ。単に技術的な脆弱性を塞ぐだけでなく、サプライチェーン全体、そして組織内の人の意識まで含めた総合的なセキュリティ体制を構築することが、オンラインビジネスの信頼性を守る上で不可欠となる。今回の注意喚起を機に、自社のシステムが安全であるか、常に問い続け、継続的な改善に努める姿勢が求められる。

【ITニュース解説】通販サイトでの「ウェブスキミング」に業界団体が注意喚起