Webスキマー:特に卑劣で危険なのはなぜ?

Webスキマーとは何か、オンラインで買い物をする時にWebスキマーに注意しなければならない理由、そして身を守る方法。

ネットで買い物をする際、典型的な詐欺から身を守るためのシンプルなルールがいくつかあります。例えば、

  • インターネット上で見知らぬ人の個人アカウントに送金をしない。
  • 不審なサイトにクレジットカードの情報を入力しない。
  • 支払いの情報を送信する前に、ウェブサイトのアドレスを細かく確認する。

しかし、正規のウェブサイトでも、クレジットカードの情報が窃取される可能性があることを知っている人は少ないのではないでしょうか。これは、ページがWebスキマー(Web サイトのコードに直接埋め込まれた悪意のあるスクリプト)に感染している場合に発生する可能性があります。

Webスキマーとは?

Webスキマーという名前は、ハードウェアのスキマーと関連しています。スキマーは、クレジットカードの磁気ストライプから情報を密かに盗むために、ATM や支払い端末に取り付ける特殊な装置です。不正が施されていても普通の ATMと変わりないため、一般の人は気づきにくく、カードを挿入したりスライドしたりすることで、支払いの詳細を犯罪者と共有してしまいます。Webスキミングとは、eコマースサイトに不正なコードが挿入され、ユーザーのカード情報が窃取される犯罪を意味します。

詐欺師たちは、随分前から、ハードウェアをいじる必要がないWebスキミングについて、犯行現場で捕まる危険が極めて低いことに気づいていました。不正なコードを作成して正規のウェブサイトに埋め込むという行為は、完全にリモートで実行することができます。こうして、eコマースサイト上で傍受された買い物客のクレジットカード情報は詐欺師の手に渡ります。

サイバー犯罪者は、脆弱なeコマースサイトなどを探し、それをハッキングして、サイト運営側に気付かれることなく悪意のあるコードをインストールします。これで彼らの仕事は完了です。あとはカード情報をデータベースに統合し、それをクレジットカードからお金を盗むことを仕事とする他のサイバー犯罪者にダークウェブ上で販売します。

なぜWebスキマーは危険なのでしょう?

Webスキマーが危険な理由は 3 つあります。

まず、ユーザーには、Web スキマーが見えません。一般のユーザーの目には、画面上で不審なことは一切起こりません。アドレスが正しく、危険信号が見当たらないウェブサイトで商品を購入しているだけです。見た目も動作も通常のウェブサイトと同じです。さらに、被害者の口座からすぐにお金が引き出されるわけではないため、Webスキマーに侵害されたウェブサイトを特定することは、たとえ可能だったとしても極めて困難です。

第二に、ウェブサイトを運営する人であっても、Webスキマーを検出するのは容易ではありません。サイバーセキュリティの専門家はおろか、IT 担当者もいない小さなオンラインショップの経営者にとっては大きな問題です。しかし、大手のeコマースビジネスでも、自社サイトがWebスキミングの被害に遭っていないかどうか、徹底的にチェックするには、かなり特殊なスキルとツールが必要です。

第三に、盗難の被害と特定のショップを結びつけて断定するのは難しいので、苦情を申し出る人も少ない可能性があります。念のため、自身のウェブサイトをスキャンして、スキマーを見つけようとする、複雑で費用のかかる作業(専門家を雇う必要があります)をする経営者はほとんどいません。

Web スキマーの脅威はどの程度広がっているのでしょう?

最近の調査では、サイバーセキュリティの専門家が、Web スキマーの現状を詳しく調べました。この調査では、Webスキマーを専門とするサイバー犯罪シンジケート Magecart に関連していると思われる悪意のあるキャンペーンを分析しました。その結果、次のようなことが明らかになりました。

  • 当初、Webスキマーは Magento を利用したオンラインストアにのみ埋め込まれていましたが、侵害されるプラットフォームは拡大しています。サイバー犯罪者は、Shopify や WordPressで運営されているオンラインストアにも、支払い情報を傍受するためのプラグイン(特に WooCommerce)を感染させることができるようになりました。
  • 感染したサイトで、Web スキマーの検出を困難にするため、インプラントの作成者は、意図的に Facebook Pixel、Google Analytics、Google Tag Manager といったサービスの正規のコードのように見せかけます。
  • このキャンペーンの背後にいるハッカーが使用している最新の手口の一つは、侵害されたウェブサイトをコマンドアンドコントロール(C&C)サーバーとして使用し、他のサイトに埋め込まれたWebスキマーを管理して、盗んだ支払い情報を抜き出すことです。Web スキマーが検出されにくい理由は、埋め込まれたWeb スキマーが正規の Web サイトと通信していても疑わしく見えないためです。
  • Web スキマーに感染していることが判明したウェブサイトのなかには、毎月数十万人の顧客にサービスを提供している大手のオンラインショップも含まれていました。
  • 統計を見ると、2022 年にWeb スキマーに侵害されたウェブサイトが、1万近く発見されました。このうち 4 分の 1 は年末の時点でも感染したままで、Web スキマーのインプラントが数年とは言わないまでも数か月間留まる可能性があることを示唆しています。

Web スキマーから身を守るために

弊社のセキュリティソリューションは、オンライン上の支払いプロセスを完全に保護します。セーフブラウジングテクノロジーを採用しており、リンクをクリックした瞬間にすべてのウェブトラフィックオブジェクトをスキャンして、既知と未知両方の脅威を検出します。HTML コード、またはスクリプトファイルで Web スキマーが検出された場合、弊社の製品は、マルウェアの存在について警告し、危険なページの読み込みを防ぎます。

ヒント