あなたのクレジットカードが狙われる！ ウェブスキミングとクレジットマスターとは？

画像提供：マイナビニュース

多くの人がスマホを持ち、利便性を享受する社会の陰で、ショートメールなどを利用した巧妙な詐欺が多発しています。また、SNSを通じて犯罪グループに一般人がリクルートされ、犯罪に手を染めてしまう「闇バイト」も社会問題化しています。サイバー犯罪の手口や仕組みを知り、自衛することが求められます。

特に最近増加しているのが、発覚しにくいクレジットカード不正利用の手口。ECサイトが改ざんされる「ウェブスキミング」や、クレカ番号自動生成による「クレジットマスター」の手口をまとめます。

本稿は『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』(技術評論社刊)より、内容の一部を抜粋・編集したものです。

ウェブスキミングの被害が続発

クレジットカード番号の不正入手手口として、ここ数年大きく流行しているのが「ウェブスキミング」です。スキミングとは店頭決済のときに、店員などが不正にカード情報を抜き取る手口ですが、そのウェブ版・オンライン版とも言えるのがウェブスキミングです。

具体的には、犯罪者がショッピングサイト（ECサイト）に侵入し、決済ページなどを改ざんすることで、訪れたユーザーのクレカ番号等を盗み取る手口です。「オンラインスキミング」や「フォームジャッキング」と呼ばれることもあります。

この手口は、古くは2013年頃からあり、特に2021年以降に日本での被害が目立っています。被害を受けているのは、おもに企業が自社でECサイトを運営する場合で、大手企業よりも中小企業が多くなっています。

ECサイトへの攻撃としては、古くからECサイトのサーバーへの不正アクセスによるデータ漏えいがありました。ECサイトに保存されていた利用者のクレカ番号などのリストを盗み出すものです。

しかし現在では安全対策として、クレジットカード番号等を保存しないECサイトが増えています。「カード情報の非保持化」、つまりクレカ番号などをECサイト側に保存せず、クレジットカード会社側で決済することで、ECサイトからの漏えいを防ぐものです。

この「カード情報の非保持化」を突破する攻撃がウェブスキミングです。ECサイト側で保存しないサイトでも、決済ページ自体を改ざんすることで、入力されたカード番号等を犯人側に送るものです。
EC向けシステムの弱点から侵入

2021年以降で報道されているECサイトからのクレジットカード情報漏えいは、多くがこのウェブスキミングによるものと言っていいでしょう。以下の図は、犯人によるECサイトへの侵入手口です。日本国内の被害でもっとも目立つのは、ECサイト向けCMS（コンテンツマネジメントシステム：ウェブサイトの構築や運用を行うシステム）の脆弱性を攻撃して侵入する手口です。たとえば、日本でもっともシェアが大きいECサイト向けCMS「EC-CUBE」の脆弱性を突いて侵入し、決済ページを書き換えられてしまう被害が出ています。