一般財団法人日本サイバー犯罪対策センター(JC3)は3月22日、不正スクリプトを読み込ませるようにECサイトを改ざんし、不正にクレジットカード情報などを窃取する「Webスキミング」の手口の一種を確認したと公表、EC事業者などに注意喚起を呼びかけている。
警察やラック、トレンドマイクロなどとの連携で、「Webスキミング」の手口の一種を確認した。改ざんされたECサイトで商品の購入手続きなどを行った場合、その間に入力したクレジットカード情報などが悪意の第三者に窃取される。
JC3は「Webスキミング」の流れを次のように推定している。
- 改ざん
攻撃者はクレジットカード情報などを窃取する不正スクリプトを用意。ECサイトを何らかの方法で当該スクリプトを参照させるように改ざんする - 閲覧・購入
利用者は改ざんに気が付くことなくECサイトにおいて商品の閲覧や購入などを行う - 不正スクリプトの読み込み
利用者側の環境に不正スクリプトが読み込まれ、利用者がECサイトの画面(例:ログイン画面、会員登録画面、決済画面)で入力した情報が窃取される - 購入時、カード情報などを送信
利用者が決済画面で商品購入すると、正常に注文が完了すると同時に収集されていた各種情報が攻撃者側へ送信される
被害に遭ったECサイトでは、不正スクリプトを参照するようにHTMLファイルが改ざん。JavaScriptのライブラリ(jQuery)を偽装したファイル名で、HTMLファイルを確認しても改ざんに気が付かない可能性があるという。
脆弱性対策など情報セキュリティ対策の強化を
JavaScriptで記述された不正スクリプトは難読化が施されているなど、改ざんされたECサイトを利用者がブラウザで閲覧しても異変に気が付くことは困難という。そのため、JC3は、ECサイト側での脆弱性対策などの情報セキュリティ対策の強化を求めている。
EC事業者に求めている対策
- 推測されにくいパスワードを設定する
- 管理画面へのアクセス制限を行う
- 脆弱性を解消する(ソフトウェアをアップデートする)
- ECサイトに意図しないスクリプトなどの記述を発見した場合、改ざんされている可能性が高いと考えられるため、直ちに公開を中止して原因特定などを行う。その際、バックドアが仕掛けられている可能性にも注意する
- ECサイトの構築を外注する際は情報セキュリティ対策を含めた契約とする。運用開始後の保守契約内容や、インシデント発生時の体制面についても確認しておく
- この記事のキーワード
この記事の筆者
関連記事
アサヒビールやアスクルも被害を受けたランサムウェア攻撃。押さえておくべき攻撃手口や被害事例、感染前後に取るべき対応など
1月13日 7:00
ECプラットフォームを使う通販サイトを狙う新たなサイバー攻撃「Magecart」とは
2021年8月5日 8:00
ドメイン盗難被害の夢展望子会社、サイト運営困難からの復旧までの経緯と状況
2024年7月2日 7:00
経済産業省+警察庁が案内するサイバーセキュリティ対策まとめ
2025年2月13日 7:30
「サイバーセキュリティ対策の強化を」。内閣サイバーセキュリティセンター、経産省など6省庁が連名で注意喚起
2022年3月4日 9:30
模倣や詐欺など悪質なECサイトを教えてください! 日本サイバー犯罪対策センターが通報を受付
2025年6月4日 7:00
筆者の人気記事
法人200万円、個人事業主100万円の「持続化給付金」の申請受付スタート【要件+条件+申請方法+手続きなどの情報まとめ】
2020年5月1日 10:30
中小企業200万円、個人事業主100万円の現金給付策「持続化給付金」の支給条件とは?[政府の新型コロナ対策]【随時更新】
2020年4月8日 7:00
中小企業200万円、個人事業主100万円の現金給付策「持続化給付金」の申請要領を公表、必要案書類は? 申請方法は?
2020年4月28日 10:00
雇用調整助成金の上限を15000円に拡充 個人で直接申請できる新制度も
2020年5月15日 10:00
休業者が上限1日1.1万円を直接申請できる個人向け「新型コロナ対応休業支援金・給付金」、対象者は? 条件は? 申請方法は?
2020年7月8日 9:00
休業者が直接給付金(月額上限33万円)を申請できる「新型コロナ対応休業支援金」とは
2020年6月11日 9:00
