Webスキミングとは、Webサイト上に入力されたクレジットカード情報などの個人情報を、ユーザーの知らないうちに盗み取る攻撃手法の一つです。特に、ECサイトやオンライン決済ページが狙われやすく、被害に気付きにくいという点が特徴です。
「スキミング」という言葉は、もともと実店舗でカードを読み取る装置に不正な機器を取り付けて情報を抜き取る手口を指します。それがWeb上でも同様のことが起きている、と考えると分かりやすいかもしれません。
Webスキミングでは、攻撃者がECサイトの脆弱性を利用して、不正なスクリプトをこっそり埋め込みます。例えば、買い物かごや決済画面に表示されるフォームの裏側に、カード番号を抜き取るコードを仕込むといった具合です。ユーザーが正規のフォームに入力した情報は、決済処理と同時に攻撃者のサーバーにも送られてしまいます。
問題なのは、サイトの見た目には一切変化がないため、運営側も気付きにくいことです。攻撃は、サードパーティーのスクリプトを読み込む箇所や、アクセス制御が甘い管理画面などから始まるケースが多い印象です。
では、どうすればWebスキミングを防げるのでしょうか。一つは、信頼できるソース以外のスクリプトは読み込まないようにすること。そして、コンテンツセキュリティポリシー(CSP)を適切に設定して、不正なスクリプトの実行を防ぐ対策も有効です。また、サーバーやCMS、プラグインの脆弱性を放置しないことも基本ですね。
私たちも、脆弱性診断の現場でこの種の攻撃に備えたアドバイスをすることが増えています。Webスキミングは、見えないところで進行する“静かな攻撃”です。だからこそ、定期的な診断や構成チェックを通じて、異常の兆しを見逃さない目を持ちたいですね。
用語解説の監修:増井 敏克