日本サイバー犯罪対策センター(JC3▼)は2022年3月下旬、「Webスキミング」を確認したとして注意を呼びかけた。Webスキミングは、EC(電子商取引)サイトに不正なスクリプト(簡易なプログラム)を挿入してクレジットカード情報などを窃取するサイバー犯罪である。特徴は、被害に遭っても気づきにくいこと。なぜ気づきにくいのだろうか。
不正なスクリプトを読み込ませる
スキミングは、クレジットカードの磁気ストライプに書き込まれている情報を抜き出す犯罪である。そのWeb版ということでWebスキミングと呼ばれる。オンラインスキミングなどともいう。
JC3は今回改めて注意喚起したが、Webスキミング自体は新しい手口ではない。以前から存在する。2018年9月に英ブリティッシュ・エアウェイズが被害を公表▼して広く知られるようになった。
今回、JC3が確認したとするWebスキミングの流れは以下の通り(図1)。攻撃者はクレジットカード情報などを窃取する不正なスクリプトを用意。そして攻撃対象のECサイトのWebページを何らかの方法で改ざんし、そのスクリプトを参照させる(読み込ませる)ようにする。
利用者がそのECサイトにアクセスすると利用者のWebブラウザーにスクリプトが読み込まれる。そして利用者がクレジットカード情報などを入力した後、決済画面で商品購入ボタンを押すと正常に購入処理が完了する。それとともに、クレジットカード情報などが不正なスクリプトによって攻撃者に送信される。
商品の購入手続きは問題なく進むので、クレジットカード情報が抜き取られていることに利用者はまず気づかない。
改ざんされたECサイト側でも気づきにくい。ECサイトでは多数のスクリプトを利用しているため、1つや2つ増えたところで分からない。加えて、不正なスクリプトを参照するURLは偽装されている▼ことが多い。このためWebページのHTML▼ファイルを確認しても、改ざんに気がつかない可能性があるとしている。
