セキュリティの今日、そして明日を読む

Eスキミングによるカード情報詐取が複数発生

Webを利用した電子商取引(Eコマース、EC)と顧客へのサービス提供(Webサービス)が脅かされています。特にECサイトの改ざんから偽画面を表示してユーザのクレジットカード情報(以下、カード情報)の詐取を狙う攻撃の被害が目立ちました。2019年に公表されたECサイトの改ざんによるカード情報漏えい被害事例をトレンドマイクロで独自に整理したところ、1年間で29件の事例が確認されています。7月以降の下半期に全体の7割に当たる21件が集中しており、この29件の被害事例では、合わせて65万件以上の情報が漏えいしたとされています。

この偽画面表示の手口は「eSkimming(Eスキミング)」「フォームジャッキング」とも呼ばれ、国内では2018年7月前後から表面化している攻撃です。具体的には改ざんされた正規ECサイト上でユーザが商品購入などを行おうとした際、カード情報入力の偽画面が表示され、偽画面上で入力した情報が詐取されます。情報詐取後には偽のエラーメッセージを表示させるなどした後、ユーザを正規の決済画面に遷移させます。これはユーザからみると、正規サイトでの商品購入時に直接フィッシングサイトに誘導され、最終的にカード決済が正式に完了する流れとなっているため、ユーザが被害に気づきづらい手口となっています。

この攻撃の根本的な解決策としては、ECサイト側が改ざんされないように対策を行うことが重要です。しかし、実際に被害に遭ったECサイト側ではセキュリティが十分に行き届いていなかった実態が明らかとなっています。2019年に公表された被害事例では、未公表を除くすべてにおいて外部からの指摘で被害が発覚しています。つまり、ECサイト側ではそもそも改ざんされていたこと自体に気づけておらず、異常を検知する対策が十分でなかったことになります。また、同様に未公表を除くすべての事例において、被害原因はECサイト上の脆弱性となっていることから、何らかの脆弱性が修正されず放置されていたことが推察されます。

サイバー犯罪者は既存の脆弱性を抱えたインターネット上のサイトを常に探索しており、脆弱性のあるサイトを侵害して、その情報を他のサイバー犯罪者に売るといった活動を行っています。これはインターネット上に公開されたサイトで既存の脆弱性を放置していれば、いつかは攻撃を受け被害に遭う可能性があることを意味しています。公開されているサイトの中でも特にユーザの重要な情報を扱うECサイトではシステムの脆弱性対策を優先的に検討すべきでしょう。
(2020年3月に掲載)

レポート