あなたのクレジットカードが狙われる！ ウェブスキミングとクレジットマスターとは？

脆弱性とは、ソフトウェアなどの弱点・問題点のことで、外部から攻撃されると侵入される原因となります。どのソフトウェア・システムにも脆弱性はあり、発見され次第バージョンアップなどで直されています。このアップデートを行わずに、脆弱性が残ったままの古いバージョンのCMSを使っていたECサイトが侵入されているのです。

ふたつ目の侵入手口は、決済ページで実行されるスクリプトを改ざんする方法です。スクリプトとはプログラムの一種で、ECサイトでは決済用スクリプトのほか、アクセス解析などでもスクリプトが使われています。これらのスクリプトを改ざんし、本来の決済のほかに犯人側に送る命令を加える形です。

三つ目の侵入手口は、単純なパスワードを使うなど、脇の甘い管理者アカウントを狙うもの。犯人は管理者として入るため、当然ながら決済ページの改ざんが自由にできてしまいます。これらの手口により、正規のECサイトの決済ページが改ざんされてしまうのです。
クレカ番号を盗み取る巧妙手口

改ざんされたECサイトからクレカ番号を盗み取る手口が、こちらの図です。

私たち一般利用者がそのECサイトで買い物をしたとします。サイト内にある決済ページで、クレジットカードや住所などを記入するわけですが、その情報は改ざんによって犯人側に送られてしまいます。

犯人側に送る手口（クレカ番号を不正入手）は、おおむね3種類があります。1つは決済ページで実行されるスクリプトが細工されている場合。入力した情報が犯人側に送られるスクリプトになっています。

2つ目は、決済ページで使われている外部のスクリプトが細工されている場合です。たとえば広告表示のスクリプト、アクセス解析用のスクリプトなどが該当します。ECサイト側ではなく、そこに設置されているスクリプトを作っている企業（広告配信企業、アクセス解析企業）側で改ざんされているのです。ECサイト側で検知しにくい厄介な手口です。

3つ目は、偽のクレカ決済画面で盗み取るパターンです。一部のECサイトでは、決済ページを自分では持たずにクレジットカード会社側のページにジャンプさせて決済するものがあります。このジャンプ先へのURLリンクを改ざんし、犯人側が用意する偽ページで入力させるパターンです。
正式決済も行われるため発覚しにくい

犯人にとって、ウェブスキミングはメリットがふたつあります。ひとつは、ほぼすべての情報を入手できること。クレジットカード番号・有効期限・氏名・セキュリティコードなどのクレカ情報に加えて、住所・氏名・電話番号などを入手できてしまいます。配送の情報が含まれているためです。犯人にとっては、クレジットカード情報だけでなく詳細なデータを入手できるため、その後の悪用に使えるというメリットがあります。