Webスキミングとは【用語集詳細】

Webスキミング(Web Skimming、ウェブスキミング)あるいはEスキミング、フォームジャッキング(Form Jacking)とは、オンラインショッピングサイト等のカード決済プロセスに対し悪意あるコードを挿入することにより、利用者のクレジットカード情報や個人情報を窃取し、攻撃者の設置したC2サーバー等にデータを転送するサイバー犯罪行為です。
現実世界のATM等で行われるスキミング行為と原理が似ていることからこの名称で呼ばれています。
オンライン決済サービスに対する攻撃として国内外問わず広く普及しており、多数の被害を発生させています。
攻撃のターゲットになる業界は、ショッピング、ゲーム等様々です。オンライン広告やWebアナリティクスなどを提供するベンダーも標的になるケースがあります。例えば、Webサイトの計測やマーケティングに用いられるGoogle Tag Managerが、攻撃者による悪性コード注入の対象になっていることが確認されています。
国内では、サードパーティが提供する決済システムへの攻撃を起点として、複数の企業が被害に遭う例が続出しています。
Webスキミングの兆候は、身に覚えのないカードの不正利用や、利用者に対するフィッシング攻撃の増加、Webサイト上のスクリプトの改ざんなどによって察知されます。
攻撃者が利用する手法には以下のようなものがあります。
- Eコマース・プラットフォームの脆弱性を悪用
- サードパーティの決済ツールやプラグインを改ざんし、悪性コードを注入
- フィッシングメールやブルートフォース攻撃を通じてWebサイト管理者権限を乗っ取り、ターゲットのネットワークに侵入
- XSS(ユーザーを悪性ドメインにリダイレクトし、JavaScriptを用いてユーザーの入力データを決済ページから取得)
また攻撃者は、カード情報を窃取する悪性コードを画像やMetaピクセルに埋め込み難読化したり、アンチ・デバッグ機能を付与したりといった検知回避策を行っています。
Webスキミング対応策としては、決済ソフトウェアのアップデートや、コードの完全性チェック、ログのモニタリング等が挙げられます。
著名な攻撃として、EコマースプラットフォームMagentoの脆弱性を狙ったMagecart攻撃がある他、広く利用されているWooCommerce、WordPressといったプラットフォームやCMSも攻撃のターゲットとなっています。