連載
» 2020年01月14日 07時00分 公開

半径300メートルのIT:ユーザー側には対策不可能!? ECサイトを狙う「Eスキミング」の怖さ (2/2)

[宮田健,ITmedia]
前のページへ 1|2       

「持たない」というセキュリティ対策の裏をかく

 サイバー犯罪者は事業者のECサイトに不正アクセスし、決済ページへのリンクを書き換えてフィッシングサイトに誘導します。フィッシングサイトは本物の決算画面そっくりに作り込まれているため、利用者は偽画面に遷移していることに気付かずに決済情報を入力します。するとフィッシングサイトは(ご丁寧にも)偽のエラーメッセージを表示して、正規の決算ページに再度遷移するのです。遷移先は正式なページなので、利用者はフィッシング詐欺に遭ったことに気付けません。

サイト改ざんによる「Eスキミング」 サイト改ざんによる「ECスキミング」

 最近では「Eスキミング」と呼ばれる手段。一連の攻撃は、ECサイトを構築するシステムの脆弱性や設定ミスを狙って実行されます。

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説 (1/2) - ITmedia NEWS

FBI Eスキミングに関する情報(出典:FBI, This Week: Joint Campaign Aims to Prevent E-Skimming — FBI

利用者側でできることが無い! だからこそ「法人」がしっかりと

トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏 トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

 トレンドマイクロの岡本氏は、Eスキミングの問題を「多くのECサイトが攻撃を受けていることに気が付いていない」と指摘します。クレジットカード事業者やセキュリティベンダーなど、外部からの指摘を受けるまで攻撃に気が付けず、外部からの指摘を受けた時点ですでにカード情報が悪用されていることも多いのだそうです。

 事業者のEのスキミング対策には「システムの脆弱(ぜいじゃく)性、および設定ミスがないかを定期的に確認する」「不正なアクセスやシステム変更を監視する」などになります。特に改ざんや変更を検知する仕組みがあれば、不正アクセスを受けても利用者側の被害を抑えられます。現在、そのような仕組みを導入している事業者はどの程度あるでしょうか。

 今後ECサイトを運営する方は監視の仕組みを構築し、改ざんされた瞬間に気が付ける体制を取ることが求められるでしょう。

 そして、悩ましいのが「利用者側でできるEスキミング対策がほとんどない」という点です。利用しようとしているECサイトがどの程度システムに投資しているか、どの程度のセキュリティレベルを有しているかは、ECサイトを見ても判断できません。残るは「ものすごく気を付けて、怪しいページに遷移していないかを確認する」という対策ですが……これも、もはや不可能でしょう。アドレスバーの表記や「鍵マーク」も、もはや安全の証明にはなりません。ECスキミングは「企業が消費者を守る」という姿勢に頼る他、対策の取りようがないのです。

トレンドマイクロが考える対策 レンドマイクロが考える対策

 2020年も、更に進化・巧妙化した新たなサイバー攻撃がやってくるでしょう。利用者にできる対策は「パスワードを使い回さない」「パスワード管理ソフトを使う」「バックアップを取る」「システムアップデートは必ず行う」など。それ以外は、企業側が自社の対策を徹底し、安全性をブランディングするような状況になればいいなと思います。そして、個人でも法人でも「人をだます手口を知り、サイバーの世界においてもだまされないように意識すること」が、身を守る重要な方法であると心得ましょう。マルウェア防御だけでなく、詐欺への耐性もしっかりと!

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ