ECサイトに対する最近の攻撃であるWeb版スキミングについて

ネットショッピングの利用率は50%を超え、特に20代、30代の利用率は80%を超えています。利用の拡大に伴う被害事例の増加を受けて「割賦販売法の一部を改正する法律」（改正割賦販売法）が2018年6月に施行され、クレジットカード情報（以降、カード情報）を取り扱う法人に対して情報の適切な管理などの措置をとることが義務付けられました。

カード情報を自社で保持する場合には、PCI DSS準拠義務化などの高レベルのセキュリティ対策が必要となる大変厳格なもので、ネットショッピングを展開するECサイトの多くは、カード情報を持たずに決済を可能にするシステムを導入するなどの対処を行いました。

この対処によって、攻撃者がECサイトを直接攻撃し、ECサイトのデータベースから一括してカード情報を入手するなどの旧来の攻撃手法は不可能になりました。しかし、カード情報を窃取される事件はいまだに無くなっておらず、最近では国内大手家電量販店のオンラインショップや、イギリス大手の航空会社、アメリカ・カナダの大学オンラインストアなど、数多くのカード情報の漏洩事件が報道されています。

これらの事件では、オンラインショッピングのカード情報を入力するコンテンツ内に直接不正なスクリプトを挿入、JavaScriptライブラリを改ざんすることにより間接的に不正なスクリプトを挿入する等の手法のWeb版スキミング（注）が使われていました。攻撃者は、カード情報を入力するコンテンツを予め直接改ざんする、もしくは間接的に不正なスクリプトを挿入することにより、利用者が入力したカード情報が決済サーバに渡される際に、攻撃者のサーバにも送信するように仕込んでおくことによって、カード情報を盗み出しています。この攻撃では、カード番号や有効期限だけではなく、不正利用防止の為の3桁や4桁の数字「セキュリティコード」まで窃取されます。

これらの事案は、ECサイト自身はカード情報を保持せず、安全な決済代行会社のシステムを利用すれば堅牢になるという安易な風潮の裏をつき、決済システムの手前で情報窃取するという、ECサイト運用者の盲点を狙った攻撃です。コンテンツの改ざんを利用者が認識することは非常に難しく、ECサイト提供側も、カード情報を持たず、堅牢なカード決済システムを使っているという安心が裏目となるため、事件の発生に気づきにくい状況となっています。

攻撃者は様々な手段を巧みに操り、隙をついて攻撃を仕掛けています。カード情報を持たないなどの局所的な対策だけで安全が確保されるのではなく、サイトを俯瞰した全体的なセキュリティ対策が必要であるという認識を持ち、普段から最新のセキュリティ情報をウォッチして、組織的な対応力を強化しておくことが重要です。