ECサイトを持っている企業は必ず知りたい!WEBスキミングとは
現在、WEBサイトを持っている企業はかなり多くなってきました。 小さな企業や個人経営の飲食店でも、自社サイトを簡単に持てるような時代になりました。 中には、ECサイトを作っているお店も見かけるようになりました。 そんな、 「1社1サイト」 の時代に、注意したいのはセキュリティです。 今回は、ECサイトを持っている企業が知っておきたい 「WEBスキミング」 について見ていきましょう。
WEBスキミングとは
WEBスキミングとは まずは、WEBスキミングについて説明していきます。
WEBを使ってカード情報を抜き取る方法
ECサイトでは、クレジットカードで支払いをするのが一般的です。 代引きなどの支払いも可能ではありますが、クレジットカード決済が出来ないネットショップは、購買率が一気に下がります。 クレジットカードで支払う際には、 ・クレジットカード番号 ・セキュリティコード を入力する必要があります。 WEBスキミングは、これらの情報を抜き取るための方法になります。
非WEBの「スキミング」も存在する
「WEB」スキミングという名前ですが、元々はWEB上以外での詐欺行為として「スキミング」が存在します。 スキマーと呼ばれるクレジットカード情報を読み取る機械が存在し、それを利用してクレジットカード情報を不正に取得することがスキミングになります。
クレジット決済時にスキミングされる
スキミングの手法の1つが、店員になりすましてクレジット決済をすると見せかけ、スキミングをするというものです。 出来る場所は限られていますが、最も原始的な方法と言えるでしょう。
ATM利用時にスキミングされる
ATMでクレジットカードを利用する際にスキミングする方法もあります。 最近では、クレジットと銀行のカードが一体になっているものもありますので、こういった手法で抜き取られる可能性は今後も増えるかもしれません。
非接触ICカードでのスキミング
スキマーの中には、カードリーダーに通さず、非接触で読み取れるものも存在します。 Suicaなどの交通系カードの様に、直接触れていなくても読み取ることが出来れば、電車などの人が密集する場所でカバン越しに読み取られたりします。 実際に利用していなくても読み取られる可能性があるというのは、非常に恐ろしいですよね。
WEBスキミングの仕組み
WEBスキミングの仕組み 通常のスキミングとは違い、WEBスキミングはECサイト経由でクレジットカード情報が抜き取られます。
ECサイトの改ざん
1つは、ECサイトの改ざんによるものです。 普段私達が利用しているECサイトのページに、悪意のあるプログラムを埋め込むことでWEBスキミングが行われます。 WEBサーバーに侵入し、決済情報を入力する画面に、 「入力した情報を攻撃者に送信するためのJavascriptを埋め込む」 という形で実装されます。
配信プログラムにコードを仕込む
2つ目は、サードパーティ製のサービスに不正なプログラムを埋め込む方法です。 例えば、 ・アクセス解析用の仕組み ・ヒートマップ ・WEB広告 ・カート機能 ・その他自社ECサイトを拡張する機能 などは、その仕組を提供している企業からプログラムソースを提供してもらい、自社のECサイトに組み込むことで利用できます。 この提供されるプログラムソースを全てチェックする人は、ほとんど居ないでしょう。 そのため、そこに悪意のあるコードが埋め込まれていても、気付かずに利用してしまうのです。 これにより、決済情報を攻撃者に自動的に転送するような仕組みを実装します。
WEBスキミングの対策は難しい?
WEBスキミングの対策は難しい? 実はこのWEBスキミングですが、対策が非常に難しいと言われています。
サードパーティ製のプログラムからの影響を受けるケースもある
前項でお話しした2つ目のサードパーティ製のプログラムの場合、具体的にそのソースが公開されていないケースが多々あります。 ソースを見ることが出来れば対策が出来る可能性もありますが、APIなどの仕組みを利用する上で改ざんがされている場合は、検知することが難しいでしょう。
WAFでの対応が難しい
WAFとは 「Web Application Firewall」 の略で、Webサイトの脆弱性を検知するためのセキュリティ対策になります。 主に、下記のような攻撃に対応する事が出来ます。 ・バッファオーバーフロー →大量にデータを送りつける事により、サーバーの誤作動を狙い、ハッキングする手法 ・クロスサイトスクリプティング →入力テキストなどにJavascriptを埋め込み、悪意のあるプログラムを実行する手法 ・SQLインジェクション →入力した情報がSQLにてデータベースに更新される際、悪意のあるSQLを埋め込む手法 ・OSコマンドインジェクション →SQL同様にOSコマンドを埋め込む手法 ・DDoS攻撃 →自動でフォーム送信などの負荷を一度にかける事でサーバーを機能停止にする手法 ・ブルートフォースアタック →パスワードを総当りで解析する手法 ・ディレクトリトラバーサル →フォルダを相対パスで指定し、意図しない不正なアクセスをする手法 上記のような攻撃に対して有効なWAFですが、プログラムソースそのものを改変されてしまっている場合には、検知が難しいのです。
WEBスキミングの対策
WEBスキミングの対策 WEBスキミングの対策としては、OS やミドルウェア、Web アプリケーションなどの脆弱性を狙って攻撃・改ざんを行うため、これらのバージョンを常に最新にする事が非常に重要です。 また、これらのセキュリティパッチが出た場合には、速やかに対処し、脆弱性を放置しないように注意しましょう。 加えて、管理者アカウントを厳重に管理し、 ・2段階認証を用いる ・定期的にパスワードを変える ・パスワードを難しくしておく といった基本的な対策も重要になります。 WordPressやEC-CUBEといったCMSを利用している場合は、 ・不要な拡張機能を入れない ・設定ファイルなどのアクセス権限がきちんとされているか ・拡張機能のバージョンを最新にする ・利用していない拡張機能は削除する といった運用ルールを守ることが重要になるでしょう。
セキュリティ対策はビジネスにおいて重要!相談はAMELAに
セキュリティ対策はビジネスにおいて重要!相談はAMELAに 今回は、ECサイトを運営している企業に知ってほしいWEBスキミングについてお話してきました。 単なる自社の情報を提供しているサイトやブログとは違い、個人情報や決済情報を扱うECサイトだからこそ、きちんとしたセキュリティ対策や管理が必要になります。 しかし、人材不足の業界も多く、IT人材が中々育たない!という声もよく聞きます。 新しい技術や知識に触れているIT人材が居なければ、セキュリティリスクの回避や長期的なビジネスの継続は難しいでしょう。 そんな企業様は、是非AMELAにご相談下さい。 IT人材の派遣や、ITコンサルティングによって、 ・今やるべき対策 ・今後中長期的に行うべき施策/計画 ・今考えるべきリスクや対策 をしっかりとご提案できるかと思います。
