ウェブスキミングでクレジットカード情報が盗まれる

2023年（令和5年）11月15日に、京都府警などの合同捜査本部は、埼玉県草加市の無職男性（26歳）を不正指令電磁的記録供用と割賦販売法違反の疑いで逮捕しました。
男は、2022年（令和4年）10月から11月にかけ、音楽グループの公式サイトに不正なプログラムを仕掛け、グッズなどを購入するためアクセスした利用者3人が入力したクレジットカード情報を不正に入手した疑いがあります。警察のサイバーパトロールで大量のクレジットカード番号などが書き込まれた掲示板が発見され、関与が浮上しました。
京都府警によると、ウェブスキミングの摘発は全国で初めてということです。

情報セキュリティー大手のラックによると、2020年（令和2年）から21年にかけ、国内で少なくとも約20のサイトがウェブスキミングの被害に遭ったといいます。ファッションや食品販売といった幅広い利用者がいるECサイトが標的とされています。

上記の事例は、「正規サイトにも用心を」で紹介したように決済ページが改竄される場合です。

サイト運営者がとれる対策としては、

• サーバOS、ミドルウェア、アプリケーションの脆弱性対策
• アカウント認証の強化
• ファイアウォールの設置
• IDS/IPSによるアラート・対処
• ログやコンテンツの定期監査

などが考えられます。一般的な標的型攻撃やランサムウェア対策と同じ対策となります。

電子決済（EC）を行うスクリプト（プログラム）を外部配信サービスに頼るサイトが増えています。自社で作るより安全なスクリプトを利用できるという意味では正しい選択なのですが、海外では、配信サービスのスクリプトが改竄されるという被害が起きています。
スキミングを目的にする攻撃者からしてみれば、ハードルは高いが、そのサービスを改竄すれば、多くのサイトからクレジットカード情報を手に入れることができるという旨味があります。

サイト運営者は、自社サーバ／アプリケーションで起きているトラブルではないため、上記の決済ページの改竄対策では防ぐことができません。
まず、配信サービスの選定を慎重に行い、経験と実績があるサービスを選びましょう。
次に、配信サービスとの契約の中で、お客様のクレジットカード情報が漏洩した場合の責任分界を明らかにしましょう。配信サービスの改竄によるものであれば、配信サービス会社が違約金を支払うような契約にするのもいいでしょう。その分、利用料が高くなることは致し方ありません。
配信サービス会社とは別のセキュリティ専門企業に、定期的にスクリプトの監査を委託することも有効です。もちろん費用がかかります。

決済ページの改竄、済用スクリプト配信サービスの改竄のいずれのケースについても、正規のサーバで起きている問題のため、サイト利用者がとれる対策はありません。
クレジットカードの利用履歴をこまめにチェックし、利用しているECサイトからの連絡メールに目を通し、もしカード漏洩の可能性があったら、すぐにカード会社に連絡して支払いを止めてもらいましょう。

• 正規サイトにも用心を：ぱふぅ家のホームページ
• 国内ECサイトの被害を確認、Webスキミング攻撃の実態とラックが考える対策例：ラック，2022年4月7日
• 新しいECサイトの攻撃手法、Webスキミングとは？：トレンドマイクロ