ECサイトを改ざんしクレジットカード情報を窃取する「Webスキミング」に注意を！ 通販サイト運営者に求められる対策とは

一般財団法人日本サイバー犯罪対策センター（JC3）は3月22日、不正スクリプトを読み込ませるようにECサイトを改ざんし、不正にクレジットカード情報などを窃取する「Webスキミング」の手口の一種を確認したと公表、EC事業者などに注意喚起を呼びかけている。

警察やラック、トレンドマイクロなどとの連携で、「Webスキミング」の手口の一種を確認した。改ざんされたECサイトで商品の購入手続きなどを行った場合、その間に入力したクレジットカード情報などが悪意の第三者に窃取される。

JC3は「Webスキミング」の流れを次のように推定している。

1. 改ざん
   攻撃者はクレジットカード情報などを窃取する不正スクリプトを用意。ECサイトを何らかの方法で当該スクリプトを参照させるように改ざんする
2. 閲覧・購入
   利用者は改ざんに気が付くことなくECサイトにおいて商品の閲覧や購入などを行う
3. 不正スクリプトの読み込み
   利用者側の環境に不正スクリプトが読み込まれ、利用者がECサイトの画面（例：ログイン画面、会員登録画面、決済画面）で入力した情報が窃取される
4. 購入時、カード情報などを送信
   利用者が決済画面で商品購入すると、正常に注文が完了すると同時に収集されていた各種情報が攻撃者側へ送信される

被害に遭ったECサイトでは、不正スクリプトを参照するようにHTMLファイルが改ざん。JavaScriptのライブラリ（jQuery）を偽装したファイル名で、HTMLファイルを確認しても改ざんに気が付かない可能性があるという。

脆弱性対策など情報セキュリティ対策の強化を

JavaScriptで記述された不正スクリプトは難読化が施されているなど、改ざんされたECサイトを利用者がブラウザで閲覧しても異変に気が付くことは困難という。そのため、JC3は、ECサイト側での脆弱性対策などの情報セキュリティ対策の強化を求めている。

EC事業者に求めている対策

• 推測されにくいパスワードを設定する
• 管理画面へのアクセス制限を行う
• 脆弱性を解消する（ソフトウェアをアップデートする）
• ECサイトに意図しないスクリプトなどの記述を発見した場合、改ざんされている可能性が高いと考えられるため、直ちに公開を中止して原因特定などを行う。その際、バックドアが仕掛けられている可能性にも注意する
• ECサイトの構築を外注する際は情報セキュリティ対策を含めた契約とする。運用開始後の保守契約内容や、インシデント発生時の体制面についても確認しておく