ECサイトを改ざんしてクレジットカード情報などを窃取する「Webスキミング」に注意！

確認されたWebスキミングの手口の流れ

　一般財団法人日本サイバー犯罪対策センター（JC3）は3月22日、警察や株式会社ラック、トレンドマイクロ株式会社などとの連携により、不正スクリプトを参照するよう改ざんしたECサイト経由で、利用者のクレジットカード情報を窃取する「Webスキミング」の手口の一種を確認したとして、脅威情報を公開した。

確認された手口の詳細

　「スキミング」とは、クレジットカードの情報を不正な装置（「スキマー」と呼ばれる）で読み取って窃取し、悪用するもの。「Webスキミング」とは、ECサイトなどのウェブサイトを不正に改ざんしてクレジットカード情報を窃取し、悪用するものを指す。正規のECサイト上で行われるため利用者は気付きにくいことが特徴で、具体的な手口は多岐にわたるという。

　今回確認された手口は、次のようなものと推定されるという。まず、攻撃者はクレジットカード情報などを窃取する不正スクリプトを用意し、既存のECサイトに対して、この不正スクリプトを参照（読み込み）するよう改ざんを施す。

　利用者が改ざんされたECサイトを閲覧したり、購入しようとした際に不正スクリプトが読み込まれる。この状態でECサイトの画面（ログイン画面、会員登録画面、決済画面など）に入力した個人情報やクレジットカード情報は収集され、購入ボタンを押して注文が完了すると同時に、攻撃者のサーバーへと送信される。

不正スクリプトの特徴とドメイン名

　被害が確認されたECサイトでは、ウェブサイトのHTMLが不正スクリプトを参照するように改ざんされていたとしている。不正スクリプトはJavaScriptで記述され、多くのウェブサイトで利用されているライブラリ「jQuary」に偽装したファイル名となっているため、一目では判別しにくいとしている。

改ざんされたECサイトのHTMLの例

　不正スクリプトは難読化が施されていたが、ECサイトの各種画面に入力された利用者情報（ID、パスワード、生年月日、クレジットカード情報など）を攻撃者のサーバーへ送信するものと推定されている。

ECサイト運営者、利用者向けの対策

　同センターはECサイト運営者、および利用者に対し、以下のように対策を提示している。