全2383文字
PR

 産官学連携のサイバー犯罪対策組織である日本サイバー犯罪対策センター(JC3)は2022年3月下旬、「Webスキミング」を確認したとして注意を呼びかけた。Webスキミングは、EC(電子商取引)サイトに不正なスクリプト(簡易なプログラム)を挿入してクレジットカード情報などを窃取するサイバー犯罪である。

 特徴は、被害に遭っても気づきにくいこと。なぜ気づきにくいのだろうか。

スクリプトでカード情報を窃取

 スキミングは、クレジットカードの磁気ストライプに書き込まれている情報を抜き出す犯罪である。そのWeb版ということでWebスキミングと呼ばれる。オンラインスキミングなどともいう。

 JC3は今回改めて注意喚起したが、Webスキミング自体は新しい手口ではない。以前から存在する。2018年9月に英British Airways(ブリティッシュ・エアウェイズ)が被害を公表して広く知られるようになった。クレジットカード情報など40万人分以上の個人情報が流出したとされる。

 同社はこの事件により、欧州連合(EU)の一般データ保護規則(GDPR)に違反したとして2000万ポンド(当時のレートで約27億円)の制裁金が科せられた。

 今回、JC3が確認したとするWebスキミングの流れは以下の通り。

クレジットカード情報などが窃取されるまでの流れ
クレジットカード情報などが窃取されるまでの流れ
(出所:JC3)
[画像のクリックで拡大表示]

 攻撃者はクレジットカード情報などを窃取するスクリプトを用意。そして攻撃対象のECサイトのWebページを何らかの方法で改ざんし、そのスクリプトを参照させる(読み込ませる)ようにする。

 利用者がそのECサイトにアクセスすると利用者のWebブラウザーにスクリプトが読み込まれる。そして利用者が決済画面で商品購入ボタンを押すと正常に注文が完了するとともに、クレジットカード情報などがスクリプトによって攻撃者に送信される。

利用者もECサイトも気づかない

 商品の注文手続きは問題なく進むので、クレジットカード情報が抜き取られていることに利用者はまず気づかない。

 改ざんされたECサイト側でも気づきにくい。ECサイトでは多数のスクリプトを利用しているため、1つや2つ増えたところで分からない。

 加えて、不正なスクリプトを参照するURLは偽装されていることが多い。正規のスクリプトに見せかけるためだ。

 JC3が公表した例では、広く使われているJavaScriptのライブラリーであるjQueryを偽装したファイル名が付けられている。このためWebページのHTMLファイルを確認しても、改ざんに気がつかない可能性があるとしている。

改ざんされたHTMLファイルの例
改ざんされたHTMLファイルの例
(出所:JC3)
[画像のクリックで拡大表示]

 Webスキミングでは利用者が入力したクレジットカード情報などを盗む。ECサイトが保持している情報を盗むわけではない。このためサードパーティーのクレジットカード決済システムを使い、クレジットカード情報を保持していないECサイトでも被害に遭う。