法人のお客さまに起こりがちな状況
ECサイトを運営していると、情報漏洩のニュースを見るたび冷や冷やする情シス担当者の方は多いのではないでしょうか?自社のサイトに侵入されて顧客情報を抜き出されたりしたら企業として一巻の終わりです。
そうした中、現在個人情報の漏洩はフィッシングサイトに加えてWebスキミングと言う手法が徐々に増えてきています。
今回はこのWebスキミングについて、仕組みや被害、対策についてお伝えします。
ECサイト攻撃の新たなメインストリーム「Webスキミング」
従来ECサイトへの攻撃で多かったのは直接的な不正アクセスでした。サーバ内に侵入し、受注データから個人情報を抜き出したりクレジットカート情報を窃取したりする攻撃です。これに対してはファイアウォールによる侵入の遮断、EDRなどによる検知と対応やWAFによる流出対策などが主な対応として挙げられています。
また、近年では「フィッシング」も流行していました。本当のサイトに似せたサイトに誘導し、フォームに情報を入力させることでユーザサイドから情報を窃取する手法です。
特に金融機関や大手ECモールを騙(かた)ったメルマガを送付しフィッシングサイトに誘導する手法がよく行われ、ニュースにもなったことから広く認知されるようになりました。
これに対してはユーザに対する周知や啓蒙が重要です。メルマガのfrom欄は正しいものになっているか、URLにおかしなところはないか、飛び先のURLは正しいかなどを確認するよう促すことである程度被害を減らすことができます。
そして現在新しく主流になってきているのが「Webスキミング」です。
見た目はフィッシングと同じようにフォームへ入力させる形なのですが、Webスキミングの場合、フォームなどは本来の店舗のものが使用されており違いに気づくことができないことが特徴です。フォームにいつも通り購入のために氏名や住所、電話番号、クレジットカード番号などを入力するとWebスキミング用のコードが作動し外部に個人情報が送信されてしまう形になります。
単純な見た目だけではなく実際の店舗で動作しているフォームが利用されているため、今まで案内されてきたフィッシングサイトの見分け方のような形式では対応できずユーザ側での検知は困難と言われています。
Webスキミングが行われる仕組み
Webスキミングは多くがJavaScriptの改ざんによって行われます。
攻撃の経路は大まかに2つあり、1つは店舗のカートシステムに侵入し決済ページを改ざんする方法、もう1つはサードパーティースクリプトを改ざんしコードを読み込ませる方法です。
前者は一般的な攻撃手法との組み合わせで実行されるためECサイト側のセキュリティレベル向上によってある程度の対応が可能です。しかし、後者については自社側の対応だけでは対策として不十分なのが実態とも言えます。
一般的にサードパーティースクリプトはサードパーティーのサーバから直接エンドユーザのブラウザに送られていきます。ECサイト側ではそもそもどのようなコードが送信されているのか検知することができないため、対処が難しいのです。
例えば攻撃者側は特定のECサイトを狙うわけではなく広告配信サービスなどのベンダーを狙い不正なコードを仕込みます。広告配信サービスは多くの場合広告配信の最適化や成果確認用にECサイトにもJavaScriptのコードを埋め込むことが多く、攻撃者はここから侵入する形になります。実際の動作はJavaScriptのためユーザのブラウザ上で稼働するためECサイト側では動作が確認できない、というわけです。
また2019年には制作会社が提供しているモジュールが改ざんされてしまい、モジュールが利用されている複数のサイトでWebスキミング被害が出た事例も確認されました。
JavaScriptの配信が含まれているものであれば全てが攻撃元になる可能性があり、かつ攻撃を受けた際はECサイト側での確認がとりづらいのが特徴です。
このためWAFの導入やサーバのセキュリティレベル向上と言った今までの対策だけでは対応が困難であると言わざるを得ません。
Webスキミングによって起こりうる被害
実際にWebスキミングによって起こりうる被害としては以下が挙げられます。
-
- 個人情報の流出
- ECサイトの特性として住所、氏名、電話番号、Eメールアドレスなどに加えシステムによってはクレジットカード情報なども含めて流出が発生します。取り扱っている商材によっては機微情報も含まれている可能性があります。
-
- 金銭面的な補償によるコスト発生
- ECサイト側は被害者でもある立場ですが、ユーザからしてみると、責任はECサイトにあるという見方になります。金銭面的な補償が避けられないとなった場合、ユーザに対して補償を行う必要があり莫大なコストが発生します。
-
- 企業の信頼性の失墜
- 中長期的な影響としては信頼性の喪失があります。ここは情報漏洩をした信頼できないサイトという評判が広がるとユーザから敬遠されてしまうため売上の機会損失が発生してしまいます。
直接的な攻撃とは異なりサーバにある全データの情報漏洩とはなりませんが、「情報漏洩した」と言う事実については何ら変わらず非常に大きなダメージを受けることになってしまうのです。
Webスキミングへの対応策
実際のところ、Webスキミングに対する完璧な対策と言うのは難しいのが現状です。しかし、企業としては何もせず放置するわけにも行かないのが難しいところでもあります。
現在考えられるWebスキミングへの対応策としては以下のような内容が考えられます。
-
- 自社サイトへの対応策
-
ファイアウォール、サーバの脆弱性対策、アカウント認証の強化、IDS/IPSによるアラート・対処などがあります。
標的型攻撃、ランサムウェア対策と言った従来の情報セキュリティ向上のための取り組みがそのままWebスキミング対策にもなります。コードを改ざんされたら検知が難しいため、基本的には入口対策の強化、内部対策での無効化が重要です。
-
- サードパーティースクリプトへの対応策
- セキュリティレベルの高いカート(決済)システムを利用するなどが考えられます。基本的には決済システムを自社で持つことは難しいため、信頼できる決済システムを利用することになります。コスト面での比較のみではなく、セキュリティレベルでの比較も踏まえ選定を行うことでリスクを低減することができます。
Webスキミングは自社に加えて外部のパートナー選定も慎重に
Webスキミングは説明したように防ぐのが難しい攻撃方法でありながら受ける被害は大きいのが特徴です。
情シス担当者としてはまず自社の情報セキュリティ対策が最重要課題です。自社の社内ネットワークを狙うのはWebスキミングだけではありません。しっかりと社内での対策をしておくことは自社を守ることと同時に外部に対してもできる限りの対応をしていたことの証明になります。
そのうえでリスクを最小限にするため外部パートナー(主に決済サービス)の選定基準についての見直しを行う必要があります。
この部分はサイトの運用、経費の変動も含まれるため経営層も含めた全社的な取り組みが必須です。
選定の際にはパートナー企業に対して入口対策(侵入させない)、内部対策(改ざんさせない)、出口対策(情報を漏らさない)それぞれをどのような体制で行っているのか、またその評価が妥当なのかを正しく評価することがWebスキミング対策として重要なポイントとなります。
第三者評価機関の証明等も含めきちんと確認行い社内・社外共にユーザの個人情報をしっかりと守れるサイトを構築しましょう。
トレンドマイクロからのアドバイス
Webスキミングの対策はまず社内からです。
外部は完全なコントロールをできませんが、社内はコントロールできる範囲に入ります。
各クライアントの内部対策、そしてサーバ対策と社内を完全にしたうえで社外についても並行して対策を進めましょう。
トレンドマイクロでは、内部対策としてのウイルスバスタービジネスセキュリティサービス(VBBSS)やTrend Micro Apex One SaaS、サーバ対策としてのTrend Micro Cloud One - Workload Security™(Cloud One - Workload Security)と、侵入の検知から内部ネットワークでのふるまい検知までセキュリティレベル向上に寄与する様々なソリューションを持っています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。
従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。
「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。
事前予防と事後対処を実現するエンドポイントセキュリティ
Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。
管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。
パフォーマンスを損なわずにDC、クラウド、 コンテナ保護
Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。