電子商取引(EC)サイトを標的に顧客のクレジットカード情報を盗み取る「ウェブスキミング」というサイバー攻撃が出回っていると聞きました。被害にあわないためにはどのような対策を施せばよいですか。(化粧品小売業)

 ウェブスキミングとは、英語の「web」と「skimming」(すくい取る)を組み合わせた造語で、ECサイトを改ざんし、利用者が入力するクレジットカード情報を盗み取る行為を指します。被害は2015年から確認されており、日本では近年ECサイト構築ツールの脆弱性をねらった攻撃が相次いでいます。利用者のクレジットカード情報がいったん流出してしまうと、ECサイト運営事業者の信頼低下を招き、ひいてはサイトの閉鎖といった深刻な影響を及ぼしかねません。

 この手口でやっかいなのは、サイト構築ツールが動作しているシステムを改ざんするため、正規のサイトと見分けのつかないところです。

 従来、クレジットカード情報や個人情報を詐取する手法として「フィッシング」が知られていました。フィッシングでは、公的機関や金融機関などをかたるメールやSMSを送信して、正規のサイトを装ったにせのサイトに誘導し、クレジットカード情報等を盗み取ります。にせのサイトを用意するため、URLが正規サイトと異なるなど外見上あやしい点があります。だまされるのは利用者であり、サイト運営事業者には被害が及ばないのもウェブスキミングと違うところです。

外見上の判断は困難

 ウェブスキミング被害にあっているかどうかを見た目で判断するのは非常に困難で、クレジットカード会社等からカード情報漏えいの連絡がサイト事業者に入って発覚する例が多くを占めます。正規のECサイトと異なる点をあえて挙げるなら、一度入力した情報の再入力を求める画面が表示されるケースもあるようです。もっとも、そうしたメッセージ画面が表示されなかったからといって、被害にあっていないとは言い切れません。

 21年には、セキュリティー情報の収集等を行うJPCERTが、イーシーキューブ社の提供する中小企業向けECサイト構築ツールの脆弱性に関して注意喚起しています。脆弱性が悪用されるとECサイト管理者のブラウザー上で不正プログラムが実行され、ECサイトへの不正アクセスや個人情報の窃取が行われる可能性があると公表されました(脆弱性を修正するパッチおよび対策済みバージョンが同社から提供済み)。また昨年11月には、ウェブスキミングによる犯罪が初めて摘発されました。逮捕者は音楽グループの公式サイトに不正プログラムをしかけ、利用者のクレジットカード情報を不正に入手した疑いが持たれています。

 ウェブスキミングがここにきて再び出回りはじめた背景として、EC利用者の伸びが挙げられます。日本国内のBtoC-ECの市場規模は22年、22兆円を上回り過去最高となりました(経済産業省「令和4年度 電子商取引に関する市場調査報告書」)。コロナ禍で旺盛になった人々の通販ニーズに応えるべく、セキュリティー対策が万全でないまま急ごしらえで開設されたECサイトは少なくありません。ECサイトの立ち上げと運用を外部事業者に委託している場合も注意する必要があります。

アップデートが必須

 ECサイト運営事業者がまず行うべきは、ECサイト構築、運用に使用しているツールを把握すること。ツールのバージョンが古く脆弱性があると、サイバー犯罪者の格好の標的になります。バージョンが古いときは最新の状態にただちにアップデートしましょう。サイトの運営を外部に委託しているなら、当該事業者にアップデート状況を確認してください。

 あわせて、ECサイト管理者のアカウントの漏えいを防ぐ対策も重要といえます。アカウントはフィッシングにより窃取されることが多いため、不審な電子メールやフィッシングサイトへのアクセスをブロックするセキュリティー対策ソフトを導入するのが有効です。また、ECサイト開設に際しては、IPA(情報処理推進機構)が公表している「ECサイト構築・運用セキュリティガイドライン」を参照することをおすすめします。

 サイバー攻撃によるECサイトからのクレジットカード情報の流出と不正利用が相次ぐ事態を受け、政府も対策に本腰を入れはじめています。経済産業省の「クレジットカード決済システムのセキュリティ対策強化検討会」は昨年1月、ECサイト運営事業者に対して、ECサイトの脆弱性対策と本人認証の仕組みの導入を義務化する方針を固めたと報じられました。検討会がまとめた報告書には、脆弱性診断やウイルス対策等によるサイトの脆弱性対策の必須化、ワンタイムパスワードや生体認証による本人認証の仕組みの導入が盛り込まれています。

 前述したとおり、ウェブスキミングによりECサイト利用者のクレジットカード情報が窃取されれば、ECサイト運営事業者の管理責任が問われます。クレジットカード会社側が承認するセキュリティー対策が講じられるまで、カード決済が一時的に不能になるケースもあるようです。売り上げ減や顧客離れを招くだけでなく、原因調査や被害補償など事故対応の費用も高額にのぼります。こうした事態はECサイトを運営する中小企業にとって死活問題です。事業継続を危うくしかねないウェブスキミング対策を早期に講じ、サイトのセキュリティー体制を万全にしてください。

掲載:『戦略経営者』2024年4月号