Webスキミングとはどのような攻撃なのか？～決済情報の非保持化でも被害に遭う脅威～

Webスキミングの被害状況

2024年は「ペイメントアプリケーションの改ざんにより、顧客が入力した決済情報が詐取された」とするECサイトの情報漏洩被害を多く確認しています。2023年1月～2024年9月までに国内組織から報告された被害は以下の状況です。直近では、タリーズコーヒージャパン株式会社や紅茶を販売する株式会社カレルチャペックのオンラインストアへの不正アクセス・情報漏洩被害が記憶に新しいところでしょう。

参考情報：
・【重要】弊社が運営する「タリーズオンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告（10月3日公開。タリーズコーヒージャパン株式会社）
・弊社が運営する「カレルチャペック紅茶店公式通販サイト」への不正アクセスによる個人情報漏えいの恐れに関するお詫びと調査結果のご報告（10月30日公開。株式会社カレルチャペック）

グラフ：2023年1月～2024年9月のECサイト関連のWeb改ざん・情報漏洩被害報告件数の推移

参考記事：ショッピングサイトやオンラインストアへのサイバー攻撃を解説 | トレンドマイクロ (JP)

日本では2018年6月に改正割賦販売法が施行され、クレジットカードのアカウントデータを保持する事業者にはPCI DSSの準拠を、もしくは決済時にアカウントデータを保持しない「非保持化」が求められています。「非保持化」は、PCI DSSの準拠の負担が大きいECサイト事業者などを中心に、情報漏洩を防ぐために用意された仕組みです。

参考記事：PCI DSSとは？クレジット産業向けのデータセキュリティ基準を解説

しかし、今回解説する「ペイメントアプリケーションの改ざん」と表現されることもある「Webスキミング」というサイバー攻撃は、非保持化という仕組みそのものでは情報漏洩を防ぐことが難しい場合があります。Webスキミングとは、一体どのような攻撃なのか、事業者として利用者の情報を守るにはどうすれば良いのか？について、本記事で解説します。

Webスキミングはどのような攻撃か？

スキミング（Skimming）とは、英語の「skim（すくい取る）」を語源とし、クレジットカードなどの磁気情報を特殊な装置で読み取り、盗んだ情報をカードの偽造や不正購入に悪用する犯罪を指していました。磁気情報を読み取るには、カード自体に読み取り装置を近づける必要があり、設置されたATM等のカード挿入口にスキミング目的の装置を取り付ける、偽のPOS装置にカードを読み込ませるなどの方法が行われていました。

写真：アンダーグラウンドサイトで宣伝されていたクレジットカード情報を盗み取る装置の写真
（左上：製造装置（3D印刷機）、右上；ATMスキマー、下段2つ：偽POS端末）（2014年トレンドマイクロが確認）

これに対して、Webスキミングは物理的なカードから情報を盗み出すのではなく、ECサイトなどで購入者が入力した決済関連の情報を盗み取るサイバー犯罪です（海外では「E-Skimming（電子スキミング）」と呼ぶ場合もあります）。
Webスキミングの具体的な方法と流れを下記に図示します。

図；Webスキミングの流れイメージ図（ECサイト事業者がカード情報非保持化している場合）

①サイバー攻撃者が盗み取る情報の送信先を用意する（第3者が運用する正規サーバを乗っ取るなど）
②脆弱性や設定ミスにつけこみ、不正スクリプトをECサイトに埋め込む（WebアプリケーションやHTMLの改ざん）
③改ざんされたECサイトに利用者がアクセスする
④不正スクリプトがECサイト利用者のコンピュータにダウンロードされ実行される
⑤利用者が購入者情報を入力する
⑥入力された情報がECサイト経由で決済事業者に送信される（正規ルート）と同時に、攻撃者が①で設置した情報送信先にも送信される（不正ルート）

上記がWebスキミングの大まかな流れです。Webスキミングは、顧客情報が格納されたデータベースに不正アクセスを行い、一度に大量の情報を窃取する方法ではなく、利用者がECサイトを利用する度に購入者情報を盗み取り続けるサイバー犯罪と言えるでしょう。被害者となるECサイト事業者からすると、不正な通信元からのアクセスは②で攻撃者から改ざんを受けた際のみであり、攻撃者へのデータ送信は利用者のコンピュータから行われるため、ECサイトに設置された不正スクリプトの存在に気づかなければ長期にわたって被害を受け続けることになります。

実際に、2024年に公表された事例だけ見ても下表のように、数年間に渡って被害が継続していたケースがあります。

公表時期	被害組織名	決済情報窃取の被害期間
2024年1月	株式会社ファインエイド	21年1月5日～23年11月15日
2024年2月	東京ヴェルディクラブ	23年8月22日～23年12月20日
2024年2月	鹿児島くみあい食品株式会社	21年5月30日～23年9月13日
2024年2月	株式会社クレイツ	21年4月21日～23年4月3日
2024年2月	農業生産法人株式会社企業農業研究所	21年4月22日～23年7月11日
2024年3月	菅公学生服株式会社	21年4月25日～23年8月21日
2024年4月	マルカワみそ株式会社	23年3月11日～23年11月13日
2024年4月	有限会社なごみ	21年1月27日～23年5月15日
2024年5月	松井酒造合名会社	23年3月29日～23年9月20日
2024年5月	株式会社岸和田スポーツ	21年2月24日～24年1月17日
2024年5月	株式会社ジョイフル本田	21年3月17日～24年1月18日
2024年5月	全国漁業協同組合連合会	21年4月22日～24年5月14日
2024年5月	株式会社インテンス	20年12月24日～23年12月8日
2024年5月	一般社団法人長崎県物産振興協会	21年3月10日～24年5月22日
2024年5月	伊勢醬油本舗株式会社	21年6月10日～24年1月18日
2024年5月	タリーズコーヒージャパン株式会社	21年7月20日～24年5月20日
2024年6月	株式会社アルファユニ	21年5月21日～24年1月2日
2024年6月	アカデミア・ミュージック株式会社	21年4月10日～24年1月14日
2024年6月	株式会社北海道産地直送センター	21年3月30日～24年4月19日
2024年7月	株式会社HAGS	21年5月27日～24年1月15日
2024年7月	有限会社東原商店	21年3月1日～24年4月9日
2024年7月	株式会社東京玉子本舗	21年3月18日～24年5月28日
2024年8月	株式会社エーデルワイス	20年4月27日～24年5月21日
2024年8月	株式会社エーデルワイス	21年6月17日～24年5月19日
2024年10月	株式会社スローヴィレッジ	21年2月4日～24年5月28日

表：2024年1月～10月24日に公表された国内のECサイト改ざん・情報漏洩被害一覧（公表情報を元にトレンドマイクロが整理）

なぜECサイトは改ざんされるのか？

なぜECサイトは改ざんされるのでしょうか？前述のWebスキミングの流れの中で②にあたる部分ですが、ECサイトが持っている弱点を悪用することでこのサイバー犯罪が成り立っています。その弱点となる代表的な原因を、以下に記載します。

・ECサイト構築用プラットフォームの持つソフトウェア脆弱性の悪用

ECサイト構築用プラットフォームとは、ECサイトの構築・運営に必要な機能がパッケージされたツールです。このツール自体もソフトウェアであるため、後から不正スクリプトを設置可能な脆弱性が発覚することがあります。過去には、一般財団法人日本サイバー犯罪対策センター（JC3）から注意喚起も出されています。

・ECサイトをホストするクラウドサービスなどの設定ミスの悪用

ECサイトをホストしているクラウドサービスに利用者の設定ミスがある場合、第3者が内容を変更できてしまう可能性があります。

・ECサイトの管理者アカウントの漏洩または脆弱なパスワードなどの認証の突破

EC管理者へのフィッシング攻撃によるアカウントの漏洩、またパスワード自体が脆弱なことや使い回しに起因する辞書攻撃・アカウントリスト攻撃などで突破される可能性があります。また、この他に攻撃者がECサイトの注文フォームに不正なスクリプトを含んだ文字を入力して送信した購入処理を行っておき、管理者のコンピュータで購入処理情報を閲覧した際に管理用のアカウントを攻撃者に送信する不正スクリプトが実行されるケースも報告されています（クロスサイトスクリプティング（XSS）攻撃の1つ）。

参考情報：「不正注文」で国内オンラインショップサイトを侵害する攻撃キャンペーン「Water Pamola」

Webスキミングを防ぐには？

Webスキミングを防ぐには、「ECサイトシステム」そのものと「ECサイト管理者と管理に利用するコンピュータ」の保護と監視が必要です。具体的には以下のようなことが挙げられます。特に、ECサイトの構築時に取引をした外部委託先がいる場合は、構築後の脆弱性の有無確認やパッチメンテナンス計画がどのようになっているのか確認することをお勧めします。