フォームジャッキング対策ガイド｜Web担当者が知るべき手口・事例と今すぐできる防御策

フォームジャッキングとは？情報を盗む「Webスキミング」の巧妙な仕組みと手口

フォームジャッキングとは、^{Webサイトの入力フォームを乗っ取り、ユーザーが入力した情報を不正に盗み出すサイバー攻撃}です。
^{まるで店舗のカード決済端末に不正な装置（スキマー）を取り付けて情報を盗む「スキミング」のように、Web上で巧妙に行われるため「Webスキミング」とも呼ばれています}。

攻撃者は、ECサイトの決済ページや会員登録フォームなどを標的にします。
そして、^{サイトの脆弱性を悪用して、情報を外部に送信するための不正なJavaScriptコードを埋め込みます}。

ユーザーがフォームに個人情報やクレジットカード情報を入力して送信すると、そのデータは正規のサーバーに送られると同時に、攻撃者が用意したサーバーにも転送されてしまいます。
多くの場合、注文や登録は正常に完了するため、ユーザーもサイト運営者も情報が盗まれたことに気づきにくいのが特徴です。

攻撃ステップ	概要
ステップ1 脆弱性の悪用	攻撃者はWebサイトのソフトウェアやプラグインの脆弱性を探し、侵入の足がかりとします。
ステップ2 不正スクリプトの挿入	侵入に成功すると、入力された情報を盗むための不正な`JavaScript`コードをWebページに埋め込みます。
ステップ3 ユーザーによる情報入力	ユーザーは何も知らずに、名前、住所、クレジットカード情報などをフォームに入力します。
ステップ4 情報の窃取と転送	ユーザーが「購入」や「登録」ボタンをクリックした瞬間、入力内容が攻撃者のサーバーへも送信されます。

この手口には、Webサイトの入力欄の脆弱性を突く「クロスサイトスクリプティング（XSS）」や、サイトが利用している外部サービス（決済代行、アクセス解析ツールなど）を改ざんする「サプライチェーン攻撃」などが悪用されます。

なぜ危険？British Airwaysも被害に遭ったフォームジャッキングの深刻な事例

フォームジャッキングは、世界中の名だたる企業が実際に被害に遭い、深刻なダメージを受けています。

この攻撃がもたらすのは、単なる情報漏洩だけではありません。
^{顧客からの信頼失墜、ブランドイメージの毀損、そして多額の制裁金など、事業の根幹を揺るがす事態に発展する可能性}があります。

被害組織・グループ	時期	被害内容・影響
British Airways	2018年	Webサイトとモバイルアプリが攻撃を受け、約38万件の顧客のクレジットカード情報が流出。巨額の制裁金を課され、ブランドイメージが大きく損なわれました。
Newegg	2018年	大手オンライン小売業者の決済ページが攻撃され、顧客のクレジットカード情報が漏洩。信頼を失い、ビジネスに大きな打撃を与えました。
Magecart	継続的	ECサイトを標的とする攻撃者グループの総称。サプライチェーン攻撃を多用し、複数のサイトに同時に不正コードを仕掛けることで、世界中で大規模な情報漏洩を引き起こしています。

これらの事例から分かるように、フォームジャッキングは企業の規模や業種を問わず、あらゆるWebサイトが標的になりうる現実的な脅威です。
利用者にとってはカードの不正利用、運営者にとっては事業継続の危機に直結するため、決して軽視できません。

【実践】フォームジャッキングからサイトを守る5つの具体的対策

フォームジャッキングから自社のWebサイトを守るためには、単一の対策だけでは不十分です。
^{複数の防御策を組み合わせる「多層防御」の考え方が極めて重要になります}。
ここでは、Web担当者が今すぐ検討すべき5つの具体的な対策を解説します。

対策名	概要	導入のポイント
1. WAFの導入	Webアプリケーションの通信を監視し、不正な攻撃を検知・ブロックする壁の役割を果たします。	クラウド型`WAF`なら比較的手軽に導入可能。フォームジャッキング特有のパターンを検知するカスタムルール設定が有効です。
2. ソフトウェアの更新	`CMS`やプラグイン、ライブラリを常に最新の状態に保ち、既知の脆弱性をなくします。	セキュリティパッチが公開されたら迅速に適用することが重要。自動更新機能の活用も検討しましょう。
3. CSPの設定	サイトが読み込めるリソース（スクリプトなど）の提供元を制限し、不正なスクリプトの実行を防ぎます。	信頼できるドメインのみをホワイトリスト形式で指定。設定は複雑ですが、XSS対策に非常に効果的です。
4. SRIの活用	`CDN`など外部から読み込むファイルが改ざんされていないか、ハッシュ値で検証します。	サプライチェーン攻撃のリスクを低減。`<script>`タグに`integrity`属性を追加して実装します。
5. 定期的なサイト監視	ファイルの改ざんや不審な通信がないか、ツールを使って継続的にチェックします。	改ざん検知ツールやログ監視システムを導入し、異常を早期に発見できる体制を構築します。

これらの対策は、それぞれ異なる種類の脅威に対応します。
例えば、WAFは外部からの不正なリクエストを防ぎ、CSPは万が一スクリプトが埋め込まれてもその実行を防ぎます。
このように複数の対策を組み合わせることで、セキュリティの穴をなくし、サイトの安全性を飛躍的に高めることができます。

混同しやすい「クリックジャッキング」との違いを1分で解説

フォームジャッキングと名前が似ている攻撃に「クリックジャッキング」があります。
どちらもユーザーを騙す攻撃ですが、その目的と手口は全く異なります。
違いを正しく理解し、それぞれ適切な対策を講じることが重要です。

一言で言えば、^{フォームジャッキングは「情報を盗む」攻撃、クリックジャッキングは「意図しない操作をさせる」攻撃}です。

比較項目	フォームジャッキング (Webスキミング)	クリックジャッキング
目的	個人情報、クレジットカード情報などの情報窃取	意図しないSNSの「いいね！」、商品購入、設定変更などの不正な操作
手口	Webフォームに不正なスクリプトを埋め込み、入力データを盗む	透明な偽サイトを正規サイトの上に重ね、ユーザーのクリックを乗っ取る
ユーザーへの影響	情報漏洩、金銭的被害（カード不正利用など）	不本意な情報発信、意図しないサービスの契約など
主な対策	`CSP`, `SRI`, `WAF`, サイト監視	`X-Frame-Options`ヘッダーの設定、JavaScriptによる対策

このように、脅威の性質が異なるため、対策も変わってきます。
自社サイトがどのようなリスクに晒されているかを正しく把握するためにも、これらの違いを理解しておきましょう。

フォームジャギング対策は Spider SiteScanで万全

Spider SiteScanは、^{外部スクリプトを24時間リアルタイム監視し、改ざんや不審な挙動を即座に検知・遮断}するので、‍フォームジャギングを防止することが可能です。
許可済みタグのみを実行させるホワイトリスト制御とリスクスコアリングで攻撃の兆候を早期警告し、PCI DSS 4.0が求めるクライアントサイド保護にも対応。^{運営者はコード解析や手動点検をせずにサイトの安全性とユーザーの決済情報を両立でき、さらに表示速度の低下も防ぎます}。

＼タグのリスクを自動で可視化・防御／

セキュリティツール
Spider AF SiteScan サービス詳細はこちら

まとめ：多層防御で企業の信頼と顧客の安心を守る

この記事では、フォームジャッキングの仕組みから具体的な対策までを解説しました。
最後に、重要なポイントを振り返ります。

フォームジャッキングは気づきにくい脅威: ユーザーも運営者も被害に気づきにくく、発覚したときには手遅れになっているケースが少なくありません。
対策は「多層防御」が基本: WAF、CSP、ソフトウェア更新、サイト監視など、複数の対策を組み合わせてセキュリティレベルを高めることが不可欠です。
予防こそが最善の策: 一度失った信頼を取り戻すのは容易ではありません。インシデントが発生してから対応するのではなく、未然に防ぐための予防的な投資と運用が重要です。

サイバー攻撃の手口は日々進化しています。
まずは、^{本記事で紹介した対策を参考に、自社サイトの現状を把握し、開発担当者や外部の専門家と連携してセキュリティ強化の第一歩を踏み出してください}。
それが、企業の信頼と顧客の安心を守ることに繋がります。

＼タグのリスクを自動で可視化・防御／

セキュリティツール
Spider AF SiteScan サービス詳細はこちら