古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

ユーザー側には対策不可能!? ECサイトを狙う「Eスキミング」の怖さ

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2020/01/14 18:05
トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏 © ITmedia エンタープライズ トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

 2020年1月7日、セキュリティベンダーのトレンドマイクロが報道陣に向け「2019年国内サイバー犯罪動向解説セミナー」を開催。個人や法人を標的としたサイバー攻撃がどのように進化しているかを紹介しました。セミナー冒頭、トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏は現在のサイバー攻撃の特徴を「常識を覆す」と表現。「二要素認証が使われていれば安全」「送信元が正規に見えるから安全」「見慣れたWebサイトだから安全」「正しいドメインだから安全」といった先入観がことごとく突破されていると述べました。

 この中で、特に気になるのが「利用者情報を狙うWebサービスへの攻撃」です。

● ECサイト運営「セキュリティは専門業者に任せる」で大丈夫?

 皆さんはECサイトで買い物をするとき、どのような決済手段を選んでいますか? おそらく、ほとんどの方はクレジットカードを利用しているのではないでしょうか。クレジットカードを利用する際は、カード番号や名義、「CVV2/CVC2」と呼ばれる裏面のコードなどを入力し、インターネット経由で送信しているでしょう。犯罪者は、不正利用のためにこれらの情報を盗み出そうとしています。

 犯罪者がクレジットカードの情報を盗み出す手法には、「通信経路の途中で“盗聴”する」「ECサイトのデータベースから“盗み出す”」などの方法があります。

 その中で“盗聴”は、WebサイトのSSL/TLS化によって対策が進んでいます。Webサイトが暗号化されているため、公衆無線Wi-Fiなどの無防備な通信環境化においても盗聴は難しくなっています。

 それでは“盗み出す”への対策はどうでしょうか? ……こちらは、いまだに情報漏えい事件が続いていることからも、盗聴ほどの対策は進んでいないようです。

 現在、多くのECサイトがユーザーのカード情報を盗まれないために「そもそも自社でクレジットカード情報を持たない」という対策をとっています。皆さんもクレジットカード番号を入力する際に、ECサイトとは異なるページに遷移し、決済情報を入力すると元のページに戻ったことがあるかもしれません。あれは決済工程だけを専門の事業者に任せ、ECサイト自身は決済システムすら持たない仕組みです。

 セキュリティ対策を決済専門の事業者に任せておけば、たとえサイバー犯罪者がECサイトに不正アクセスしてもカード情報がありません。最強のセキュリティは「持たないこと」という常識に従い、この仕組みは中小規模のECサイトで活用されています。

 ところが2019年、その常識が覆されました。昨今、ECサイトが次々と「そもそも持っていないはずのカード情報」を盗まれているのです。

●「持たない」というセキュリティ対策の裏をかく

 サイバー犯罪者は事業者のECサイトに不正アクセスし、決済ページへのリンクを書き換えてフィッシングサイトに誘導します。フィッシングサイトは本物の決算画面そっくりに作り込まれているため、利用者は偽画面に遷移していることに気付かずに決済情報を入力します。するとフィッシングサイトは(ご丁寧にも)偽のエラーメッセージを表示して、正規の決算ページに再度遷移するのです。遷移先は正式なページなので、利用者はフィッシング詐欺に遭ったことに気付けません。

 これは、最近「Eスキミング」と呼ばれる攻撃。一連の攻撃は、ECサイトを構築するシステムの脆弱性や設定ミスを狙って実行されます。

●利用者側でできることが無い! だからこそ「法人」がしっかりと

 トレンドマイクロの岡本氏は、Eスキミングの問題を「多くのECサイトが攻撃を受けていることに気が付いていないこと」と指摘します。クレジットカード事業者やセキュリティベンダーなど、外部からの指摘を受けるまで攻撃に気が付けず、外部からの指摘を受けた時点ですでにカード情報が悪用されていることも多いのだそうです。

 事業者のEのスキミング対策には「システムの脆弱(ぜいじゃく)性、および設定ミスがないかを定期的に確認する」「不正なアクセスやシステム変更を監視する」などになります。特に改ざんや変更を検知する仕組みがあれば、不正アクセスを受けても利用者側の被害を抑えられます。現在、そのような仕組みを導入している事業者はどの程度あるでしょうか。

 今後ECサイトを運営する方は監視の仕組みを構築し、改ざんされた瞬間に気が付ける体制を取ることが求められるでしょう。

 そして、悩ましいのが「利用者側でできるEスキミング対策がほとんどない」という点です。利用しようとしているECサイトがどの程度システムに投資しているか、どの程度のセキュリティレベルを有しているかは、ECサイトを見ても判断できません。残るは「ものすごく気を付けて、怪しいページに遷移していないかを確認する」という対策ですが……これも、もはや不可能でしょう。アドレスバーの表記や「鍵マーク」も、もはや安全の証明にはなりません。ECスキミングは「企業が消費者を守る」という姿勢に頼る他、対策の取りようがないのです。

 2020年も、更に進化・巧妙化した新たなサイバー攻撃がやってくるでしょう。利用者にできる対策は「パスワードを使い回さない」「パスワード管理ソフトを使う」「バックアップを取る」「システムアップデートは必ず行う」など。それ以外は、企業側が自社の対策を徹底し、安全性をブランディングするような状況になればいいなと思います。そして、個人でも法人でも「人をだます手口を知り、サイバーの世界においてもだまされないように意識すること」が、身を守る重要な方法であると心得ましょう。マルウェア防御だけでなく、詐欺への耐性もしっかりと!

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon