EC サイトを狙うデジタルスキミング、どう犯罪は行われるのか | ScanNetSecurity
2024.06.19(水)

EC サイトを狙うデジタルスキミング、どう犯罪は行われるのか

クレジットカードのスキミングは、店頭レジやATMといったリアルワールドからECサイトなどネットの世界に移っている。デジタルスキミングと呼ばれる犯罪だ。

研修・セミナー・カンファレンス セミナー・イベント
Rommel Abraham D Joven氏
Rommel Abraham D Joven氏 全 6 枚 拡大写真
 クレジットカードのスキミングは、店頭レジや ATM といったフィジカルワールドから EC サイトなどバーチャルに移っている。デジタルスキミングと呼ばれる犯罪だ。

● Magecart で有名になったデジタルスキミング

 もっとも古典的なスキミングは、店員などがカードを預かったときに、インプリンターというカードのカーボンコピーをとる機械で余分にコピーをとる方法だ。インプリンターが廃れた後は、レジとは別のカードリーダーで情報だけ抜き取るパターンやレジや ATM に細工をして読み取りデータを窃取するパターンになり、現在は、EC サイトを改ざんし、決済画面を偽造したりデータを窃取するデジタルスキミングが増えている。

 デジタルスキマーとしては 2018 年、ブリティッシュ航空のサイトをハッキングした Magecart が有名だ。一説によれば、彼らは 5 万以上のサイトをハッキングし、カード情報を盗んでいたとされる。

 一時は Magecart がオンラインサイトでスキミングを行う攻撃手法やマルウェアの名前としても使われていた。その後、デジタルスキマーは Magecart だけではなく、一般的なサイバー犯罪となったため、現在攻撃手法としてはデジタルスキミングが一般的な用語になっている。スキミングマルウェアも多数存在する。

●デジタルスキマーの手口

 デジタルスキマーは、なんらかの方法で EC サイトに侵入し、サーバーやサイトを改ざんし攻撃ツールを埋め込む。ときにはブラウザにスクリプトを注入し、さまざまな方法でスキミングを行う。その手法は次の 3 つに分類できる。

・サイトや CMS の脆弱性を利用した改ざん
・サードパーティの攻撃ツールを利用した改ざん
・総当たり攻撃による管理者アカウントのハッキング

 3 つ目の攻撃はもっともシンプルだが、じつは効果も高い。オープンソース系の CMS や EC サイト基盤を利用するサイトは、意外とデフォルトパスワードで管理していたり、簡単なパスワードで運用されていることがある。管理者アカウントが手に入れば、脆弱性やツールを駆使する必要はなく、スキミングツールやエクスプロイトは埋め込み放題となる。

 EC サイトに特化した総当たり攻撃を行うマルウェアに StealthWorker がある。2019 年 2 月に発見されたマルウェアだ。これを発見し、詳細レポートを上げたのがフォーティネットだ。2019年末に日本で開催された AVAR Osaka 2019 でフォーティネットの Rommel Abraham D Joven 氏の講演の要旨を、蔵出しでお届けする。

 当該講演は StealthWorker というひとつのマルウェアの研究結果ではあったが、それがどのように機能し、何を盗み出し、結果どのように悪用され被害が発生するのか、デジタルスキミング犯罪のプロセスの実例を知ることは、 EC サイトの運営管理のヒントになるだろう。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  5. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  6. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  7. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  8. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  9. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  10. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

ランキングをもっと見る