連載
» 2020年01月14日 07時00分 公開

半径300メートルのIT:ユーザー側には対策不可能!? ECサイトを狙う「Eスキミング」の怖さ (1/2)

巧妙化が続く、サイバー犯罪。2019年は従来の「セキュリティの常識」がことごとく覆される1年でした。今後さらに問題になりそうなのが、カード決済システムの隙を狙う「Eスキミング」。なんと、利用者にできる対策が「ない」というのです。

[宮田健,ITmedia]

 2020年1月7日、セキュリティベンダーのトレンドマイクロが報道陣に向け「2019年国内サイバー犯罪動向解説セミナー」を開催。個人や法人を標的としたサイバー攻撃がどのように進化しているかを紹介しました。

 セミナー冒頭、トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏は現在のサイバー攻撃の特徴を「常識を覆す」と表現。「二要素認証が使われていれば安全」「送信元が正規に見えるから安全」「見慣れたWebサイトだから安全」「正しいドメインだから安全」といった先入観がことごとく突破されていると述べました。

 2019年の国内サイバー犯罪動向 トレンドマイクロによる「2019年の国内サイバー犯罪動向」

 この中で、特に気になるのが「利用者情報を狙うWebサービスへの攻撃」です。

ECサイト運営「セキュリティは専門業者に任せる」で大丈夫?

 皆さんはECサイトで買い物をするとき、どのような決済手段を選んでいますか? おそらく、ほとんどの方はクレジットカードを利用しているのではないでしょうか。クレジットカードを利用する際は、カード番号や名義、「CVV2/CVC2」と呼ばれる裏面のコードなどを入力し、インターネット経由で送信しているでしょう。犯罪者は、不正利用のためにこれらの情報を盗み出そうとしています。

 犯罪者がクレジットカードの情報を盗み出す手法には、「通信経路の途中で“盗聴”する」「ECサイトのデータベースから“盗み出す”」などの方法があります。

 その中で“盗聴”は、WebサイトのSSL/TLS化によって対策が進んでいます。Webサイトが暗号化されているため、公衆無線Wi-Fiなどの無防備な通信環境化においても盗聴は難しくなっています。

 それでは“盗み出す”への対策はどうでしょうか? ……こちらは、いまだに情報漏えい事件が続いていることからも、盗聴ほどの対策は進んでいないようです。

 現在、多くのECサイトがユーザーのカード情報を盗まれないために「そもそも自社でクレジットカード情報を持たない」という対策をとっています。皆さんもクレジットカード番号を入力する際に、ECサイトとは異なるページに遷移し、決済情報を入力すると元のページに戻ったことがあるかもしれません。あれは決済工程だけを専門の事業者に任せ、ECサイト自身は決済システムすら持たない仕組みです。

 セキュリティ対策を決済専門の事業者に任せておけば、たとえサイバー犯罪者がECサイトに不正アクセスしてもカード情報がありません。最強のセキュリティは「持たないこと」という常識に従い、この仕組みは中小規模のECサイトで活用されています。

 ところが2019年、その常識が覆されました。昨今、ECサイトが次々と「そもそも持っていないはずのカード情報」を盗まれているのです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ