クレジットカードの不正利用による被害が増加しています。不正なプログラムによるウェブスキミングでの情報窃取は、サイバー犯罪の手口のひとつです。

ウェブスキミングでは、インターネット上のシステムの脆弱性を悪用されます。多くの場合、利用者は異変に気付かず、悪意のある何者かによって巧妙に個人情報を盗まれてしまいます。

ウェブスキミングの手口は、ウェブサイト利用者も管理者側も認識しづらい点が特徴です。社会的にも問題視されており、個人情報保護法ガイドラインの改正案でもデータ漏えい対策が改めて義務付けられました。

本記事ではウェブスキミングの概要や、情報漏えいを防ぐ具体的な対策を詳しく解説します。

• ウェブスキミングとは？
• ウェブスキミングの仕組み
• サイトの情報が改ざんされ個人情報が不正なサーバーに送信される
• フィッシング詐欺とは違う？ ウェブスキミングの特徴
• ウェブスキミングの被害例
• 個人情報の漏えい
• 金銭的な被害
• ウェブサイトの管理者ができるウェブスキミングの対策方法
• 改ざん検知サービスを導入する
• ソフトウェアを常に最新の状態にする
• 多要素認証を活用する
• ファイアウォールを強化しログ監視を徹底する
• セキュリティ対策を講じている外部サービスを利用する
• 取引先とセキュリティ意識を共有する
• スモールビジネスを、世界の主役に。
• まとめ
• よくある質問
• ウェブスキミングとは？
• ウェブスキミングの対策をするには？

ウェブスキミングとは、インターネットを通じて行われるサイバー攻撃の手段のひとつです。クレジットカードを使用した決済が行われる際、ウェブサイトに不正に埋め込まれた悪意あるプログラムにより、利用者の情報が抜き取られます。

タイミングとしては、通信販売サイトでの商品の購入時やサブスクリプションサービスの決済時など、さまざまなケースが考えられます。

抜き取られる対象は、ウェブサイト利用者が入力した情報です。クレジットカードの番号だけでなく、セキュリティコード・住所・氏名・電話番号・メールアドレスなどのすべてが対象になります。

ウェブスキミングによる情報漏えいが起こる仕組みと、ウェブスキミングの特徴を解説します。

クレジットカードの磁気を不正に読み取る行為を「スキミング」といいます。ATMなどに設置された不正な読み取り機で情報を盗む手法で、情報の売却やクレジットカードの偽造などに用いられます。

クレジットカード本体が攻撃の対象であるスキミングに対し、「ウェブスキミング」はインターネット上でやりとりされる情報を窃取する行為です。

かつては、ウェブサイト管理者側のサーバーに不正アクセスし、サーバーに保存されている情報を盗む攻撃手法が主流でした。

しかし不正アクセスの被害が急増したため、現在はクレジットカードの情報がサーバーに保存されないウェブサイトが主流です。

サーバーに情報がなくなったため、昨今はウェブサイトを改ざんし、悪意のあるプログラムを埋め込む手口が用いられています。

ウェブサイトそのものではなく、外部サービス（代金決済システムやアクセス解析・広告サービスなど）のプログラムが改ざんされるケースもあります。

不正なプログラムが組み込まれていても、多くの場合、見た目上の変化はなくウェブサイト管理者に送信される情報にも異常はありません。そのためウェブサイトを訪れた利用者が個人情報を入力し、異変に気付くことなく放置してしまうリスクがあります。

利用者が入力した情報は悪意のある第三者のサーバーに不正に送信され、クレジットカードの不正利用につながってしまいます。

ウェブスキミングはウェブサイトの利用者・管理者ともに認識しづらい点が特徴です。

不正なプログラムが埋め込まれていても、表示されるのは大部分が本物のウェブサイトのため、利用にあたっては特に異変がありません。そのため、利用者が対策を講じるのは困難です。

また、ウェブサイトと連携する外部サービスが改ざんされた場合、ページを読み込むのは利用者のため、管理者側のログには攻撃の形跡が残りません。

気がつくのが困難ではありますが、まずはこうした事例があることを知り、警戒しておくことが重要です。

ウェブサイトを改ざんする以外のサイバー犯罪として、「フィッシング詐欺」も存在します。事業者を装ったメールやSMSから偽のサイトに誘導する手口が一般的ですが、不自然な日本語、URLなどに注意すればある程度は自衛が可能です。

サイバー犯罪は次々に新しい手口が出てくるため、情報感度を高めて対策を行いましょう。

以下ではウェブスキミングの被害例を紹介します。

ウェブスキミングでは、ウェブサイトを利用する人のあらゆる個人情報が盗まれます。

ウェブスキミングで個人情報を盗まれると、クレジットカードが不正利用されるリスクがあります。不正利用が行われると、ウェブサイトの利用者に金銭的な被害が発生します。

ウェブサイトの管理者が、被害に遭った人の損失を補償しなければならない可能性も出てくるでしょう。

また、自社の信頼回復やセキュリティの強化のためのコストもかかります。

問題の解決には時間や手間がかかり、ウェブサイトの利用者・管理者ともに甚大な被害を受けます。

情報漏えいが起こると、事業者は社会的な信用を失います。ウェブスキミングは認識しづらい点が特徴ですが、最悪の事態を避けるため、ウェブサイトの管理者側でできる対策を紹介します。

改ざん検知サービスを導入すると、ウェブサイトのコンテンツが改ざんされていないかを自動で監視できます。

改ざんを検知すると通知が来るため、迅速な対応が可能です。検知の回数や仕組みはサービスによって異なりますが、導入することでウェブスキミングによる被害のリスクを軽減できます。

業務で使用するソフトウェアはすべて最新の状態にアップデートしておきましょう。

不正なツールは、インターネット上の脆弱性を標的に常に変化し続け、セキュリティ対策の情報も、日々新しい内容が更新されていきます。

情報が古いままのセキュリティ対策は、脆弱性を放置するのと同じです。また、顧客とのやり取りで直接使用するソフトウェアを最新にたもつだけでは不十分です。

バックオフィスで使用する各種システム・プラグイン・ファームウェアの類も、すべて常に最新の情報にアップデートしましょう。

ウェブサイトの管理者は、セキュリティ対策の一環として多要素認証を活用しましょう。

管理画面にログインする際、多要素認証の設定があれば、一定の抑止効果が期待できます。多要素認証の種類は、SMS認証・指紋認証・顔認証・画像認証・乱数認証・ワンタイムパスワードアプリなどさまざまです。

複数の認証要素を組み合わせれば、セキュリティレベルも向上し、ウェブサイトも容易に改ざんされにくくなります。

ファイアウォールを導入し、不正アクセスへの対策を徹底しましょう。不正アクセスを未然に弾くことができれば、ウェブサイトの改ざんも防げます。

すでに導入している場合でも、よりセキュリティが強化されたシステムがないか、積極的に情報収集を行ってください。

外部サービスを利用する場合はセキュリティ対策を講じている事業者を選定しましょう。

代金決済サービスや広告配信、アクセス解析など外部のサービスをウェブサイトに取り入れている場合も多いでしょう。外部サービスが改ざんされている場合、ウェブサイト管理者側での検知は、より一層困難です。

セキュリティレベルの高いサービスを選んで利用し、リスク低減を図りましょう。決済事業者であれば、PCI DSS認定を受けている企業がおすすめです。

セキュリティ強化は取引先とも連携して取り組むべきです。

ウェブスキミングの入り口は、利用者向けのウェブサイトだけとは限りません。自社がバックオフィスで利用するシステムや業務委託先などを通じて、不正アクセスや改ざんを受ける可能性もあります。

情報漏えい防止に対する意識を社内外で周知徹底し、セキュリティの水準が高い取引先を選定しましょう。

ビジネスには立ち上げから運営までさまざまなアクションが伴います。

freeeは「統合型経営プラットフォーム」を開発・提供し、ビジネスをより円滑にするためのサポートを行います。

自動化によるプロセスの最適化や管理体制の改善がもたらすのは、業務効率の向上だけではありません。ルーティンワークや非効率な作業に手を取られることがなくなれば、よりクリエイティブな活動に時間を充てられます。

多様なアイデアが生まれ、だれもが自分らしく自然体で働ける環境をつくるために。既存の枠組みにとらわれない働き方を実現し、あらゆる業務の煩雑さからの解放を目指します。

経営に関するお悩みは、ぜひ一度freeeにご相談ください。

ウェブスキミングは、ウェブサイトの情報を改ざんし、悪意のあるプログラムを挿入して個人情報を盗むサイバー犯罪です。

機密情報の抜き取りや、金銭的な被害を受けます。サイト管理者側は社内外問わずセキュリティレベルを高める取り組みが必要です。

不正なプログラムをウェブサイトに埋め込み、インターネットを通じて送信される個人情報を抜き取るサイバー犯罪です。

ウェブスキミングを詳しく知りたい方は「ウェブスキミングとは？」をご覧ください。

ソフトウェアのアップデート・多段階認証などの対策のほか、社内外のセキュリティレベルを高める取り組みが必要です。

ウェブスキミングの対策を詳しく知りたい方は「サイト側でできるウェブスキミングの対策方法」をご覧ください。