「フォームジャッキング攻撃」はサイバー犯罪者が通販サイトなどを改ざんし、利用者のクレジットカード情報を盗む攻撃です。
クレジットカード情報の入力フォームに悪意のあるプログラムが仕掛けられ、利用者が情報を入力するとサイバー犯罪者に渡ってしまう仕組みです。
そんな仕組みだとフォームジャッキング攻撃なんて利用者側では防ぎようがないですよね?
攻撃に遭わないための対策は主にサイト運営者側にかかっていますが、利用者側でもできる対策はありますよ。
ここでは「フォームジャッキング攻撃」の仕組みや手口を過去の事例を紹介し、対策法もわかりやすく解説します。
目次[開く]
フォームジャッキング攻撃とは?
「フォームジャッキング攻撃」とは、通販サイトなどのクレジット情報入力フォームなどに悪意のあるプログラムを埋め込み、利用者が入力したクレジットカード情報を盗み取る攻撃です。
クレジットカード情報を不正に入手する攻撃の種類には、店舗などで利用者のクレジットカード情報を機械で盗み取りカードを複製する「スキミング」があります。
フォームジャッキング攻撃はWeb上で行われるスキミングなので「Webスキミング」とも呼ばれます。
厄介なことに、通販サイト運営者側がクレジットカード情報を非保持化しても起こります。
非保持化とはサイト運営者側で利用者のクレジットカード情報を一切「保管」「処理」「通過」しないことです。
なぜクレジットカードの不正利用が減らないのか?
2018年に「改正割賦販売法」が施行され、クレジットカード情報の非保持化または保持する場合は事業者の「PCI DSS」への準拠が義務付けられました。
しかし以下の表をご覧ください。
引用元:一般社団法人日本クレジット協会
クレジットカード情報の悪用が減るどころか増加しています。
というのも「株式会社シマンテック」の調査では、サイバー犯罪者たちがカード情報を盗む手段をウイルス感染からフォームジャッキング攻撃に変えたのではないかと推測されています。
特に長期休暇期間中に行われる通販サイトのキャンペーンやセール期間に被害件数が増加する傾向があります。
各利用者が通販サイトでカード情報を入力する度に自動で犯人に情報が行くので、一気にカード情報を集められるんですね。
そうですね。悪意のあるプログラムを一回埋め込めばいいので、犯人にとっては簡単に稼げる方法なんです。
表では売買できない物が違法に売られている「ダークウェブ」などでカード情報は高く売れます。
「フォームジャッキング攻撃」が仕掛けられていると、利用者が入力するたび瞬時にその情報がサイバー犯罪者に送られるため、通販サイト運営側がカード情報を保持しないだけでは被害が減らないのです。
フォームジャッキング攻撃の仕組み
フォームジャッキング攻撃は以下の流れで行われます。
- 犯人が通販サイトのクレジットカード情報入力フォームに悪意のあるプログラムを埋め込む
- 利用者が商品を注文しようとカード情報入力画面をクリック
- 悪意のあるプログラムが埋め込まれたカード情報入力画面が表示される
- 利用者は気づかずカード情報を入力
- カード情報が犯人へ送られる
サイバー犯罪者は脆弱性のあるシステムを隅々まで探し、悪意のあるプログラムを仕掛けようとしています。
最新の手口
フォームジャッキング攻撃の最新の手口をご紹介します。
頻繁に行われるフォームジャッキング攻撃には、主に「スキマー挿入型」と「サプライチェーン攻撃」の2種類あります。
「スキマー挿入型」とは、あるサイトの利用者が個人情報を入力する場所に悪意のあるプログラムを仕掛け、利用者の個人情報を盗み取る手口です。
「サプライチェーン攻撃型」とは、一度に複数のサイトに侵入して悪意のあるプログラムを仕掛け、複数のサイトから一気に個人情報を盗み取る手口です。
あなたが利用している通販サイトは大丈夫でしょうか?フォームジャッキングは誰でも被害に遭う可能性が高いのです!参考に被害事例を2つご紹介します。
フォームジャッキング攻撃による被害事例
フォームジャッキング攻撃は最近でも頻発しているサイバー攻撃です。
2020年に報告された被害事例を2つご紹介します。
①無認可の転売サイトを利用した事例
2020年1月、東京オリンピックチケットの転売サイトが公開されていました。
しかし、サイト運営者の住所がアメリカ、サポート電話番号がイギリス、IPアドレスがロシア、と各情報がバラバラだったため偽サイトの可能性を指摘されました。
案の定サイトにはクレジットカード情報を搾取するためのプログラムが埋め込まれていました。
さらにこの悪意のあるプログラムは、サイバー犯罪集団「Magecart(メイジカート)」が頻繁に利用するコードでした。
②空港スタッフのログイン画面を利用した手口
2020年4月、サンフランシスコ国際空港の関係者ログインサイトが何者かにハッキングされました。
ハッキングされた際に悪意のあるプログラムがログインサイトに仕込まれたようで、ログインした関係者のユーザー情報が流出。
フォームジャッキング攻撃で盗まれるのはカード情報だけじゃないんですね。
そうなんです!「機密情報」や「企業のユーザー情報」の場合もあるので広範囲での監視が必要なんです。
フォームジャッキング攻撃に効果的な対策
フォームジャッキング攻撃に遭わないためにはどうすればいいのでしょうか?
サイト運営者側とサイト利用者側に分けて説明します。
サイト運営者の対策法
フォームジャッキング攻撃はサイト内部への攻撃なので、ほぼサイト運営者側の対策にかかっています。
怪しいプログラムの有無を監視する
重点的な監視をおすすめする箇所は、「カード決済」「SNS連携」「来訪者の傾向分析」の情報を取り扱う場所です。
許可していない通信や改ざんの痕跡がないか、アクセスログを確認します。
管理画面のURLを推測できない文字列にする
管理画面のURLが推測されやすい文字列の場合、犯人が簡単にたどり着いてしまいます。
推測されやすい文字列とは例えば以下の文字列を含んだURLです。
- admin、administrator
- webadmin
- users、user
- staff
- portal
- manager、manage
- console
管理画面へのアクセス制限を徹底する
具体的には「ファイアウォールの設定」「IPアドレス認証」「WAFの導入」が挙げられます。
ファイアウォールを設置すると許可していない通信を通さないよう設定できます。
パソコンにはIPアドレスが割り振られているので、あらかじめ管理者権限を持つパソコンのIPアドレスを認証させておけば認証以外のIPアドレスからの通信を受け付けません。
WAFとはWEBサイト(またはWEBアプリケーション)の周辺にいわば“ネット”を張り巡らして、WEBサイトの脆弱性をついた攻撃や不正アクセスを瞬時に発見する機能です。
サイト利用者の対策法
サイト利用者側にもできることはありますか?
信頼できるウイルス対策ソフトの導入がおすすめですよ!
近頃のウイルス対策ソフトは既知や未知のウイルスをブロックするだけでなく、怪しいプログラムが埋め込まれたサイトを瞬時に検知し警告してくれます。
フォームジャッキング攻撃を受けたサイトを開こうとすると警告文が出て開けないようにしてくれます。
次の章で最もおすすめのウイルス対策ソフトをご紹介します。何を導入したら良いのか迷われる方は、こちらをぜひご検討ください。
フォームジャッキング攻撃におすすめのセキュリティ対策商品
サイト運営者側のフォームジャッキング攻撃に備えた対策をご紹介しましたが、その対策には限界もあります。
そこで悪意あるフォームジャッキング攻撃やあらゆるサイバー攻撃から身を守るための高度なセキュリティ対策商品をご紹介します。
サイバー攻撃被害に遭ってからでは手遅れです。
どういう攻撃なのかを知って満足するのではなく、どう対策したら良いのかを知り、実際に対策するまでが重要です。
セキュリティの基本は「ESET」のウイルス対策から!
セキュリティの基本はウイルス対策ソフトから!
お仕事に使用するパソコンだけではなく、家庭のプライベート用パソコンにもウイルス対策ソフトは今や必須です。
しかしウイルス対策ソフトはフリーソフトから高価なソフトまであらゆる種類があり、どれを導入すべきか迷います。
迷ったときは「ESET」がおすすめです。
「ESET」はセキュリティ初心者にも優しく心強い機能が多く備わっています。
【ESETの優れた機能】
- 動作が軽くほとんどのパソコンでも動いてくれるため初心者にもおすすめ
- 3種類のパッケージがあり、どこまで守って欲しいかを選べる
- 不正アクセスをしっかり防止
- 新発見のウイルスでも即座にブロック
- 悪意のあるサイトを検知し利用者へ警告
- クレジット情報を盗もうとするプログラムを発見次第、即ブロック
- アカウントのログインIDやパスワード、その他個人情報を一元管理し漏えいしていないか確認
フォームジャッキング攻撃は不正アクセスから始まる攻撃です。「ESET」のように外部からの侵入者をしっかりブロックしてくれるソフトがあれば心強いですよ!
サイバー攻撃を1台でガード!「Cyber Box Pro」
会社の規模が大きい場合、おすすめされた「ESET」を含めセキュリティ対策商品を導入しようとするとお金がかかるんですよね。
そうですね。でもそんなときにおすすめしたいのが「Cyber Box Pro」です。
フォームジャッキング攻撃のほかにも、どこから来るかわからないサイバー攻撃は無数にあります。
対策には膨大なお金と人材が必要になります。
しかし「Cyber Box Pro」は、考えられる不正な侵入経路やウイルスなどの脅威から情報を守ってくれるオールインワンパッケージなのです。
【Cyber Box Proの優れた機能】
- 「ESET」がすでにパッケージ内に入っている
- 「ESET」と「Cyber Box Pro」2つの機能がウイルスを検知する
- IDS(不正侵入検知システム)機能付き
- 外部からの遠隔操作を受け付けない
- VPNや社員専用サイトへの不正アクセスを監視
- 当製品1台だけで社員全員のセキュリティ管理が可能
- 複数の拠点の操作ログを一度に監視及び管理できる
まとめ
フォームジャッキング攻撃の出現により、クレジットカードの不正利用はますます増加傾向にあります。
さらに手口が非常に巧妙化しており、個々の利用者やサイト運営者では対策が追いつきません。
フォームジャッキング攻撃の被害に遭わないためには、運営者側がプログラムの構造を理解し怪しいプログラムが動いていないかを監視することが最も大切です。
強力なセキュリティ製品を導入すればある程度のリスク回避や危険が抑えられます。
重要なのは「被害に遭う前にどれだけの準備ができるか」です。
会社や個人の資産を守るためにも今一度真剣に検討してみてはいかがでしょうか。