ニュース

ECサイトでのクレカ情報漏えい被害が増加、消費者庁と経済産業省が注意呼びかけ

「EC-CUBE」の脆弱性を突いて偽決済画面を表示するフォームジャッキングに注意

手口のイメージ

 消費者庁および経済産業省は13日、クレジットカード情報の漏えい被害が増加しているとして注意を呼び掛けた。

 主にECサイト構築システム「EC-CUBE」の脆弱性を突いたECサイトの改ざんにより、偽の決済画面が表示され、利用者のクレジットカード情報が抜き取られる「フォームジャッキング」による被害が増加している。

 具体的な流れとしては、偽の決済画面でクレジットカード番号を入力すると、「決済が失敗しました」などのエラーメッセージが表示され、正規の決済画面に移動するようになっているが、この時点ですでに情報が抜き取られていることになる。そのまま正規の決済画面で情報を入力すると、ECサイトから商品は発送されるため、問題発生に気付きにくく、発見が遅れやすい。

偽の決済画面の例

 窃取されたクレジットカード情報は、悪意ある第三者により不正に利用される恐れがある。被害に遭わないように、クレジットカード会社のウェブ明細やアプリの利用履歴を頻繁に確認すること、身に覚えのない利用履歴を確認した場合は、すぐにクレジットカード会社に連絡するよう呼び掛けている。

 提供元の株式会社イーシーキューブでは、ECサイト運営者向けに同社が公開するEC-CUBEのバージョン別運用環境チェックリストを確認することや、EGセキュアソリューションズの「EC-CUBEサイトの無料セキュリティチェック」、SHIFT SECURITYの「EC-CUBE向け無償簡易セキュリティ診断」を利用することを推奨している。

 なお、同チェックリスト内の対応必須項目を中心に、利用環境の確認を自動で行うツール「EC-CUBE セキュリティチェックモジュール」もイーシーキューブでは公開している。