クレジットカード不正「Webスキミング」が横行

昔からあるクレジットカードの犯罪といえば「スキミング」です。スキマーと呼ばれる機械を使って磁気情報を不正に取得するという手口ですが、それに代わって2019年頃から増加しているのが「Webスキミング」です。フォームジャッキングや電子スキミングなどとも呼ばれているクレジットカード不正利用の手口です。

クレジットカード不正利用の新手口

クレジットカード不正利用の新たな手口「Webスキミング」を詳しく見ていきましょう。ECサイトの脆弱性を狙いJavaScriptを改ざんして、決済画面に「スキマー」と呼ばれる不正なコードを埋め込みます。

そして、そこに入力されたカード番号・有効期限・セキュリティコードを別サーバに送信して盗み出すというもの。コードが埋め込まれているだけで見た目は普通の通販サイトとなんら変わらないため、防ぎようがないといわれています。

また、ECサイトを直接侵害するのではなく、広告配信サービスのJavaScriptライブラリにスキマーを埋め込む手口も見つかっています。サードパティーのサービスを悪用することで、複数のWebサイトを狙うことができるというわけです。

Webスキミングによるクレジットカード不正利用の被害は年々増えており、2019年11月には、FBIがWebスキミングに関する警告文書を発表したほどです。FBIが公表した文書には「すべてのシステムを最新のセキュリティソフトで更新すること」などの対策が記載されています。

Webスキミングで4万人のカード情報

海外ではスポーツ用品メーカーや雑誌『Forbes』の購読サイトなどが被害を受けていて、2018年には英エアラインのブリティッシュ・エアウェイズが、メインサイト及びモバイルアプリから約38万人の個人情報と支払い情報の盗難につながる侵害を受けたと発表しています。米チケット販売会社のチケットマスターからも、最大4万人のクレジットカード情報が流出しました。

もちろん日本も他人ごとではなく、2019年にヤマダウェブコム・ヤマダモールで最大3万7832名ものクレジットカード情報が流出したり、和菓子製造・販売の叶匠寿庵オンラインショップでは偽の決済画面を設置する手法で、1767名のカード情報が盗まれています。

Webスキミングに対して消費者ができる対策はほぼなく、むしろサイト管理者が使用ソフトやシステムを最新の状態に保つ、基本的なセキュリティ対策を取ることが重要です。こうした手立てをうたっているサイトを使うなど、個人としてもWebスキミングによるクレジットカード不正利用に十分に留意しましょう。