Web(デジタル)スキミング対策｜カード情報が盗まれる手口と企業ができる対策方法を徹底解説

そもそもWebスキミングとは？従来のスキミングとの違い

Webスキミングとは、^{ECサイトをはじめとするWebサイトに不正なプログラムを仕掛け、訪問者が入力したクレジットカード情報や個人情報を盗み出すサイバー攻撃の一種}です。
「スキミング」という言葉自体は、ATMなどに設置された特殊な装置でカード情報を盗む手口として聞いたことがあるかもしれません。
Webスキミングは、その名の通り、この手口をWebサイト上で行うものです。
両者の違いをまとめると、以下のようになります。

このように、Webスキミングは物理的な接触が不要で、利用者が攻撃に気づくことが極めて困難な点が最大の特徴です。

不正なプログラムで情報を盗む「Webスキミング」の仕組み

では、Webスキミングは具体的にどのようにして情報を盗むのでしょうか。
その仕組みは、^{ECサイトに仕掛けられた「見えない情報収集役」をイメージすると分かりやすい}です。

攻撃者はまず、ECサイトのプログラムの弱点（脆弱性）を見つけて侵入し、決済ページなどに不正なプログラム（主にJavaScriptという言語で書かれています）をこっそり埋め込みます。
利用者がそのサイトで商品を購入しようと、氏名や住所、クレジットカード情報を入力すると、この不正なプログラムが作動します。

そして、入力された情報は正規の決済サーバーへ送信されると同時に、攻撃者が用意した別のサーバーへもコピーされて転送されてしまうのです。
^{利用者側から見れば、注文は正常に完了し、商品も届くため、自分の情報が盗まれているとは夢にも思いません}。
この「気づかれにくさ」が、被害を拡大させる大きな要因となっています。

有名企業も被害に。タリーズコーヒーなどの国内被害事例

^{Webスキミングは、決して海外や一部の怪しいサイトだけの話ではありません}。
日本国内でも、多くの有名企業が被害に遭っています。

記憶に新しいのは、2024年に発覚したタリーズコーヒージャパン公式オンラインストアの事例です。
この事件では、Webスキミングによって最大で9万人以上の顧客のクレジットカード情報（カード番号、有効期限、セキュリティコード）が漏えいした可能性が報告されました。

ほかにも、^{大手楽器店やアパレルブランド、有名百貨店のオンラインストアなど、業種や規模を問わず多くの企業が被害を公表しています}。
この例からわかるのは、どんなに信頼している企業のサイトであっても、Webスキミングの標的になる可能性があるという厳しい現実です。

あなたのWebサイトも狙われている？Webスキミングの代表的な手口

Webスキミングの対策を考える上で、まず敵の手口を知ることが重要です。
^{攻撃者がどのようにしてサイトに侵入し、情報を盗むのかを理解することで、なぜその対策が有効なのかが明確になります}。
主な手口は、大きく分けて2つのパターンがあります。

手口1：ECサイト自体に不正コードを埋め込む

これは、Webスキミングの最も直接的で古典的な手口です。
攻撃者は、^{ECサイトを構築しているシステム（CMS）や、機能を追加するためのプラグインの脆弱性を悪用してサーバーに侵入します}。

そして、利用者がカード情報を入力する決済ページなどのファイルに、情報を盗み出すための不正なコードを直接書き加えるのです。
この手口は「Magecart（メイジカート）」と呼ばれる攻撃者グループが得意とすることから、Magecart攻撃とも呼ばれます。
サイトの見た目は一切変わらないため、運営者も利用者も改ざんに気づくことは非常に困難です。

手口2：サイトが利用する外部サービスを悪用する

近年、より巧妙で厄介な手口として増加しているのが、このパターンです。
現代のWebサイトは、アクセス解析、広告配信、Web接客チャットなど、多くの外部サービス（サードパーティ）のプログラムを組み合わせて作られています。

^{攻撃者はECサイト本体ではなく、これらの外部サービスのサーバーに侵入し、配信されるプログラムに不正なコードを仕込みます}。
すると、その外部サービスを利用しているすべてのECサイトに、自動的に不正コードが読み込まれてしまうのです。
これは「サプライチェーン攻撃」の一種であり、ECサイト運営者側がどれだけ自社サイトのセキュリティを固めていても、利用している外部サービスが攻撃されれば、意図せず加害者になってしまうリスクをはらんでいます。

【参考】企業はこうしてサイトを守る！専門的な対策と法律（PCI DSS 4.0）

私たちが安心してオンラインショッピングを楽しめる背景には、企業側の地道なセキュリティ努力があります。
^{企業がどのような対策を講じているかを知ることで、より信頼できるサイトを運営できるようになります}。

企業は、以下のような専門的な技術を用いてWebスキミングなどのサイバー攻撃からサイトを守っています。

• WAF（Web Application Firewall）: Webサイトへの不正な攻撃通信を検知し、ブロックする「防火壁」。
• 改ざん検知サービス: Webサイトのファイルが何者かによって書き換えられていないか、常時監視するシステム。
• CSP（Content Security Policy）: サイト上で実行してよいプログラムの提供元を事前に指定し、それ以外からの不正なプログラムの実行を防ぐ仕組み。
• 多要素認証の導入: 管理者がサイトの管理画面にログインする際に、ID・パスワードだけでなく、SMS認証や認証アプリなどを組み合わせることで、不正ログインを防ぎます。
• ログ監視の徹底: サイトへのアクセス記録（ログ）を常に監視し、不審な動きがないかをチェックします。

さらに、^{クレジットカード情報を扱うすべての事業者は、「PCI DSS」という国際的なセキュリティ基準に準拠することが求められています}。
これは、カード情報の安全な取り扱いに関する非常に厳しいルールセットであり、信頼できる企業はこの基準を守るために多大な投資と努力をしています。

自社サイトを守る最先端ソリューション「Spider AF SiteScan」とは

企業向け対策の一例として、より進んだソリューションも登場しています。
例えば、^{私たちが提供する「Spider AF SiteScan」は、Webサイトのセキュリティを強化するための強力なツール}です。

このツールは、以下のような特徴で企業のサイトをデジタルスキミングの脅威から守ります。

• AIによるスクリプト分析
  サイト上で動作している無数のプログラム（スクリプト）が、「何のために動いているのか」「危険性はないか」をAIが自動で分析・評価します。専門知識がない担当者でも、サイトのリスクをひと目で把握できます。
• PCI DSS 4.0.1への準拠を支援
  先ほど触れた国際基準「PCI DSS」の最新バージョン（4.0.1）が求める、クライアントサイドスクリプト（利用者のブラウザ側で動くプログラム）の管理要件を満たす手助けをします。

こうした専門的な対策の存在を知っておくことも、私たちの安心に繋がります。

＼タグのリスクを自動で可視化・防御／ セキュリティツール
Spider AF SiteScan サービス詳細はこちら

サイトがwebスキミングの被害に遭ってしまった場合の対処法

どれだけ気をつけていても、Webスキミングの被害に遭ってしまう可能性はゼロではありません。
もし、^{管理するサイトで情報漏えいの可能性が発覚した場合、迅速かつ冷静な対応が被害の拡大を防ぐ鍵となります}。
万が一の事態に備え、以下の対処フローを頭に入れておきましょう。

1. システムの隔離とサービスの一時停止
   • まず、被害の拡大を防ぐため、不正なコードが埋め込まれたとみられるサーバーをネットワークから切り離します。
   • これ以上の情報漏えいを防ぐため、一時的にサイトの公開やサービスの提供を停止することも重要な判断です。
2. 影響範囲の特定と不正コードの除去
   • 専門家の協力を得て、いつからいつまでに、どの情報が、どのくらい漏えいした可能性があるのか、被害の全容を調査します。
   • 同時に、サイト内のコードをすべて精査し、埋め込まれた不正なコードを特定して完全に除去します。
3. 関係各所への報告
   • 個人情報保護委員会や警察など、関係省庁への報告義務があります。速やかに報告を行い、指示を仰ぎましょう。
   • クレジットカード会社にも連絡し、情報連携を図ります。
4. 顧客への通知とお詫び
   • 情報漏えいの影響を受けた可能性のある顧客に対し、正直に事実を公表し、お詫びします。
   • 通知の際には、漏えいした可能性のある情報の種類、経緯、現在の対応状況、そして顧客自身で注意すべき点（カード明細の確認など）を誠実に伝えます。
5. 原因の究明と再発防止策の実施
   • なぜ攻撃を許してしまったのか、根本的な原因（脆弱性など）を究明します。
   • その原因を完全に取り除き、セキュリティの強化策を講じて、二度と同じ過ちを繰り返さない体制を構築します。

この一連の対応は、インシデントレスポンスと呼ばれ、企業の信頼を維持するために極めて重要です。

まとめ

本記事では、Webスキミングの仕組みから具体的な手口、そして万が一の際の対処法までを解説しました。
Webスキミングは、利用者はもちろん、サイト運営者にとっても気づきにくい非常に巧妙な攻撃です。
特に、自社サイトが直接改ざんされていなくても、利用している外部サービス経由で攻撃を受ける「サプライチェーン攻撃」のリスクは、現代のWebサイト運営において無視できません。

サイト運営者は、個人情報保護法のもとで顧客情報を安全に管理する責任を負っています。
そのためには、WAF（Web Application Firewall）の導入や、CSP（Content Security Policy）の設定といった基本的な対策に加え、^{サイトで利用しているすべての外部スクリプトを正確に把握し、その安全性を常に監視し続けることが不可欠}です。

しかし、多数の外部スクリプトを手動で管理し、その挙動を常にチェックするのは専門家でなければ困難です。
そこでおすすめしたいのが、弊社が提供する「SpiderAF SiteScan」です。
^{SiteScanは、あなたのWebサイトで動作している外部タグをすべて可視化し、不正な挙動や改ざんをリアルタイムで検知します}。

• AIによるスクリプト解説: 専門知識がなくても、AIが各スクリプトの役割やリスクを分かりやすく解説します。
• 改ざんの即時検知: スクリプトの変更を即座に検知し、アラートで通知。インシデントへの迅速な初動対応を可能にします。
• PCI DSS 4.0準拠を支援: クレジットカード業界のセキュリティ基準「PCI DSS」で求められるスクリプト管理要件への対応を強力にサポートします。

SiteScanを導入することで、セキュリティ担当者だけでなくマーケティング担当者も、安心して外部サービスを活用し、サイトのパフォーマンスと安全性を両立できます。
まずは無料診断で、あなたのサイトに潜むリスクを確認してみませんか。

＼タグのリスクを自動で可視化・防御／ セキュリティツール
Spider AF SiteScan サービス詳細はこちら