EC サイトを狙うデジタルスキミング、どう犯罪は行われるのか | ScanNetSecurity
2024.06.23(日)

EC サイトを狙うデジタルスキミング、どう犯罪は行われるのか

クレジットカードのスキミングは、店頭レジやATMといったリアルワールドからECサイトなどネットの世界に移っている。デジタルスキミングと呼ばれる犯罪だ。

研修・セミナー・カンファレンス セミナー・イベント
Rommel Abraham D Joven氏
Rommel Abraham D Joven氏 全 6 枚 拡大写真
 クレジットカードのスキミングは、店頭レジや ATM といったフィジカルワールドから EC サイトなどバーチャルに移っている。デジタルスキミングと呼ばれる犯罪だ。

● Magecart で有名になったデジタルスキミング

 もっとも古典的なスキミングは、店員などがカードを預かったときに、インプリンターというカードのカーボンコピーをとる機械で余分にコピーをとる方法だ。インプリンターが廃れた後は、レジとは別のカードリーダーで情報だけ抜き取るパターンやレジや ATM に細工をして読み取りデータを窃取するパターンになり、現在は、EC サイトを改ざんし、決済画面を偽造したりデータを窃取するデジタルスキミングが増えている。

 デジタルスキマーとしては 2018 年、ブリティッシュ航空のサイトをハッキングした Magecart が有名だ。一説によれば、彼らは 5 万以上のサイトをハッキングし、カード情報を盗んでいたとされる。

 一時は Magecart がオンラインサイトでスキミングを行う攻撃手法やマルウェアの名前としても使われていた。その後、デジタルスキマーは Magecart だけではなく、一般的なサイバー犯罪となったため、現在攻撃手法としてはデジタルスキミングが一般的な用語になっている。スキミングマルウェアも多数存在する。

●デジタルスキマーの手口

 デジタルスキマーは、なんらかの方法で EC サイトに侵入し、サーバーやサイトを改ざんし攻撃ツールを埋め込む。ときにはブラウザにスクリプトを注入し、さまざまな方法でスキミングを行う。その手法は次の 3 つに分類できる。

・サイトや CMS の脆弱性を利用した改ざん
・サードパーティの攻撃ツールを利用した改ざん
・総当たり攻撃による管理者アカウントのハッキング

 3 つ目の攻撃はもっともシンプルだが、じつは効果も高い。オープンソース系の CMS や EC サイト基盤を利用するサイトは、意外とデフォルトパスワードで管理していたり、簡単なパスワードで運用されていることがある。管理者アカウントが手に入れば、脆弱性やツールを駆使する必要はなく、スキミングツールやエクスプロイトは埋め込み放題となる。

 EC サイトに特化した総当たり攻撃を行うマルウェアに StealthWorker がある。2019 年 2 月に発見されたマルウェアだ。これを発見し、詳細レポートを上げたのがフォーティネットだ。2019年末に日本で開催された AVAR Osaka 2019 でフォーティネットの Rommel Abraham D Joven 氏の講演の要旨を、蔵出しでお届けする。

 当該講演は StealthWorker というひとつのマルウェアの研究結果ではあったが、それがどのように機能し、何を盗み出し、結果どのように悪用され被害が発生するのか、デジタルスキミング犯罪のプロセスの実例を知ることは、 EC サイトの運営管理のヒントになるだろう。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

  4. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  5. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  6. ケンブリッジ大学出版にサイバーセキュリティ攻撃、社内システムに不具合

    ケンブリッジ大学出版にサイバーセキュリティ攻撃、社内システムに不具合

  7. Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

    Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

  8. アクセサリー取り扱い「銀時webサイト」に不正アクセス、一部ページが改ざん被害

    アクセサリー取り扱い「銀時webサイト」に不正アクセス、一部ページが改ざん被害

  9. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  10. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る