【特別企画】ECサイト運営者は要注意、「人まかせのセキュリティ」が招く危険

非保持のクレカデータが犯罪者に漏洩するしくみ

クレジットカード情報を保持していないにもかかわらず、なぜECサイトから情報が漏洩するのか。背景を押さえておきたい。

犯罪者は、外部よりECサイト内に存在する「脆弱性」などを悪用し、ウェブサイト内部を改ざんしてこっそり悪意あるプログラムを埋め込む。そしていざ顧客が決済しようとした際に、正規の決済画面に見せかけた「偽フォーム」へ誘導する。

本物と信じた顧客がクレジットカード情報を偽フォームに入力することで、その情報が犯罪者へと流れてしまう。まさにカード情報を盗み出す「スキミング」の機能がウェブページに埋め込まれてしまうイメージだ。

実店舗に例えるならば、店内のクレジットカード決済レジを、犯罪者がこっそりと別の不正端末と入れ替えてしまうようなもの。不正端末には悪意のあるプログラムが仕込まれており、思いもしない通信先と接続して、入力されたクレジットカード情報を日々こっそり盗み出していく。

しかも「ウェブスキミング」が巧妙なのは、情報を盗み取ったあとに、入力したカード情報に誤りがあったかのように見せかけ、あらためて正規決済ページに誘導し、再度正規の決済作業を行わせる。購入した商品が問題なく本人に届くため、情報が盗まれたことにも気づきにくい。

一度に大量の情報を盗むわけではないが、決済のたびに情報を抜き取るため、長期間にわたると大きな被害につながってしまう。

そもそもECサイトにおいて狙われるものが、「クレジットカード情報」と決めつけていないだろうか。

たしかにクレジットカード情報は換金しやすくターゲットになりやすいが、攻撃者が狙うのはクレジットカード情報だけにとどまらない。会員の個人情報やログイン情報なども、別の攻撃に悪用したり、ブラックマーケットで販売できるため、十分標的となりうる。

また攻撃者がウェブサイトを侵害してしまえば、別のサイバー攻撃を行う際の攻撃インフラとしても利用できる。セキュリティ対策の甘いウェブサイトは、攻撃者にとって魅力的なターゲットだ。

（提供：ユービーセキュア - 2025/03/24 ）ツイート