ECサイトを改ざんしてクレジットカード情報などを窃取する「Webスキミング」に注意! 

INTERNET Watch

確認されたWebスキミングの手口の流れ

 一般財団法人日本サイバー犯罪対策センター(JC3)は3月22日、警察や株式会社ラック、トレンドマイクロ株式会社などとの連携により、不正スクリプトを参照するよう改ざんしたECサイト経由で、利用者のクレジットカード情報を窃取する「Webスキミング」の手口の一種を確認したとして、脅威情報を公開した。

確認された手口の詳細

 「スキミング」とは、クレジットカードの情報を不正な装置(「スキマー」と呼ばれる)で読み取って窃取し、悪用するもの。「Webスキミング」とは、ECサイトなどのウェブサイトを不正に改ざんしてクレジットカード情報を窃取し、悪用するものを指す。正規のECサイト上で行われるため利用者は気付きにくいことが特徴で、具体的な手口は多岐にわたるという。

 今回確認された手口は、次のようなものと推定されるという。まず、攻撃者はクレジットカード情報などを窃取する不正スクリプトを用意し、既存のECサイトに対して、この不正スクリプトを参照(読み込み)するよう改ざんを施す。

 利用者が改ざんされたECサイトを閲覧したり、購入しようとした際に不正スクリプトが読み込まれる。この状態でECサイトの画面(ログイン画面、会員登録画面、決済画面など)に入力した個人情報やクレジットカード情報は収集され、購入ボタンを押して注文が完了すると同時に、攻撃者のサーバーへと送信される。

不正スクリプトの特徴とドメイン名

 被害が確認されたECサイトでは、ウェブサイトのHTMLが不正スクリプトを参照するように改ざんされていたとしている。不正スクリプトはJavaScriptで記述され、多くのウェブサイトで利用されているライブラリ「jQuary」に偽装したファイル名となっているため、一目では判別しにくいとしている。

改ざんされたECサイトのHTMLの例

 不正スクリプトは難読化が施されていたが、ECサイトの各種画面に入力された利用者情報(ID、パスワード、生年月日、クレジットカード情報など)を攻撃者のサーバーへ送信するものと推定されている。

ECサイト運営者、利用者向けの対策

 同センターはECサイト運営者、および利用者に対し、以下のように対策を提示している。

ECサイト運営者向けの対策

  • 管理者用アカウントを不正利用されないよう、推測されにくいパスワードを設定し、管理画面へのアクセス制限を行う
  • コンテンツ管理システム(CMS)やOSの脆弱性を攻撃されないよう、ソフトウェアアップデートなどで脆弱性を解消する
  • ウェブサイト内に意図しないスクリプトを発見した際は、直ちに公開を中止して原因を特定する。バックドアが仕掛けられている可能性にも注意する
  • ECサイトを外注する場合は、情報セキュリティ対策を含めた契約にする。運用開始後の保守契約内容や、インシデント発生時の対策面も確認しておく

利用者向けの対策

  • 改ざんされたECサイトを利用してしまう場合に備え、あらかじめ攻撃者のサーバー(悪性ドメイン)への通信をブロックする機能を有するウイルス対策ソフトなどを導入する
  • クレジットカードの明細書に心当たりのない購入履歴などが含まれていないかを確認する。万が一、被害に遭った場合は、クレジットカード会社や警察署などへ相談する

Source