お問い合わせ

脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!

セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
mv-image
セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
problem021

021

Webスキミング攻撃から守るにはどんな対策が必要?

profile_men

芝 勇太

2024年11月11日

インターネットショッピングが日常化した現代において、Webスキミング攻撃は大きな脅威となっています。この攻撃によって、顧客のクレジットカード情報や個人情報が盗まれてしまいます。多くの企業がこの攻撃の被害に遭い、顧客情報が漏洩するケースが後を絶ちません。また、サイト利用者においても、クレジットカードの不正利用や個人情報の漏洩リスクが高まるため、注意が必要です。

この記事では、Webスキミング攻撃の基本的な仕組みを理解し、その脅威から情報を守るために必要な対策について詳しく解説します。

Webスキミング攻撃とは?

ploblem021_imgWebスキミング攻撃は、Webサイトに不正なコードを挿入し、サイト利用者が決済やユーザ情報変更などを実行した際に送信されるクレジットカード情報や個人情報を盗む手法です。攻撃者は通常、悪意のあるJavaScriptを用いてデータを収集し、攻撃者が所有するサーバに送信することで情報を盗みます。この攻撃は、ECサイトをターゲットにすることが多く、サイト利用者の知らないうちに情報が盗まれます。



物理的なスキミングとの違いって何?

スキミング攻撃には、物理的なスキミングとWebスキミングの2種類があります。物理的なスキミングは、ATMやカードリーダーに不正なデバイスを取り付けてクレジットカード情報を読み取る方法です。一方、Webスキミングはインターネット上で行われ、物理的なアクセスを必要としません。攻撃者はWebサイトの脆弱性を悪用し、リモートで攻撃を仕掛けるため、より広範囲に被害を及ぼす可能性があります。

どんな手口で攻撃を受ける?被害は?

Webスキミング攻撃の手口は多岐にわたりますが、代表的な手口を紹介します。

  • クロスサイトスクリプティング(XSS)脆弱性の悪用
    WebサイトにXSS脆弱性が内在していた場合、XSS攻撃によって不正なコードを挿入されてしまう可能性があります。XSS脆弱性につきましては、以下のページも併せてご参照ください。
    クロスサイトスクリプティング【Cross-Site Scripting:XSS】とは|図でわかる脆弱性の仕組み | ユービーセキュア (ubsecure.jp)
  • サードパーティスクリプトの改ざん
    攻撃者によって、ECサイトが使用するサードパーティのスクリプトに不正なコードを挿入され、そのスクリプトを読み込み、決済画面などで実行されることで情報が盗まれてしまう可能性があります。
  • 管理者アカウントの乗っ取り
    攻撃者によって、サイト管理者アカウントを乗っ取られ、直接サイトに不正なコードを追加されてしまう可能性があります。クレジットカード情報はECサイトでは保持していないことが多いため、管理者アカウントの権限でクレジットカード情報を閲覧することができないことから、攻撃者は単純な情報窃取ではなくWebスキミング攻撃による情報窃取を試みます。
  • ソフトウェアの脆弱性を悪用
    古いバージョンのソフトウェアや未修正の脆弱性を悪用し、サイトに不正なコードが挿入される危険性があります。

被害としては、顧客のクレジットカード情報が盗まれ、不正使用されることが最も一般的です。また、顧客の個人情報が漏洩することで、フィッシング攻撃などのリスクも高まります。これにより、企業は信用を失い、法的責任を負う可能性やサイト閉鎖へ追い込まれる危険性があります。

対策は?

Webスキミング攻撃への対策は以下の手法が挙げられます。

  • Webサイトに内在する脆弱性対策
    Webサイトの定期的な脆弱性診断を実施し、脆弱性を早期に発見・修正します。これにより、Webサイトに内在する脆弱性から不正なスクリプトを挿入されることを防ぐことが可能です。また、Content-Security-Policyヘッダを適切に設定することによって、意図しないドメインからのスクリプトの読み込みやインラインスクリプトの実行を防ぐことも可能となります。根本的に脆弱性の修正を行うことが第一ですが、レスポンスヘッダによる副次的な対策をすることで不正なコードの実行を抑制できます。
  • サードパーティスクリプトの監視
    使用するサードパーティスクリプトを監視し、不正なコードが挿入されていないか確認します。また、スクリプトを読み込む箇所にてintegrity属性を利用することによって、ファイルのハッシュ値を検証することが可能です。検証を行うことで、改ざんされたファイルが読み込まれることを防止できます。
  • 管理者アカウントおよび管理者画面の体制強化
    管理者アカウントに強固なパスワードを設定する、もしくは多要素認証を導入することで、不正にログインされることを防ぎます。また、管理者画面を外部に公開する必要がない場合は、アクセス元を制限することで侵入リスクを低減できます。
  • セキュリティパッチの適用
    ソフトウェアやプラグインに最新のセキュリティパッチを適用し、ソフトウェアなどに内在する既知の脆弱性を修正します。さらに、危険度の高いゼロデイ脆弱性が発見されセキュリティパッチが緊急リリースされることもあるため、脆弱性管理システムなどを導入し、セキュアなソフトウェアバージョンを維持することも有効です。

まとめ

Webスキミング攻撃は、サイト利用者と企業双方に大きなリスクをもたらす深刻な問題です。しかし、適切な対策を講じることで、そのリスクを大幅に低減することができます。企業は定期的な脆弱性診断やサードパーティスクリプトの監視、セキュリティパッチの適用などを通じて、自社のセキュリティを強化することが重要です。サイト利用者もまた、安全なWebサイトでの取引を心掛け、自身の情報を守る意識を持つことが求められます。

ユービーセキュアでは、Webサイトに内在する脆弱性を洗い出すことができるWebアプリケーション診断を提供しています。ECサイトはもちろんのこと、サイト特性に合わせた診断プランをご提案することが可能となっておりますので、お気軽にお問合せください。

 

お問い合わせ