日本クレジット協会によると、2025年第一四半期の日本のクレジットカード不正利用被害額は前年同期比で39%増であり、被害額の約95%はオンライン経由の番号盗用被害によるものだという。(出典:日本クレジット協会「クレジットカード不正利用被害の発生状況」、「クレジットカード不正利用5つの対策」)

仮に、自社のWebサイトでクレジットカード情報が漏えいすれば、顧客への対応や対策強化のための費用に加え、カード会社からの求償請求、さらにクレジットカードの取り扱いが一時的に停止されることによる売上損失など、大きな影響を受けることは明らかだ。

クレジットカード情報を漏えいさせる攻撃手口の1つに「Webスキミング」がある。本稿では、アカマイ・テクノロジーズ マーケティング本部 プロダクト・マーケティング・マネージャー 中西一博氏にWebスキミングの手口、対策について伺った。

Webスキミングとは

Webスキミングとは、Webサイトにアクセスしたユーザーが入力したクレジットカード情報や、ID、パスワードといった個人情報などを窃取する行為を指す。ユーザーがWebサイトにリアルタイムに入力する情報だけでなく、ブラウザ内に保持されている情報が窃取される場合もある。

中西氏は「日本は、これまでWebセキュリティに対するコンプライアンスが海外に比べて厳格でなかったこともあり、集中的に犯罪グループや犯罪者から狙われている」と言う。経済産業省が対策ガイドラインを改定するなど、対策の周知・強化も進んでいるが、一方で、Webスキミングの手口は年々巧妙化しており、いたちごっこが続いている。

カード決済を利用するWebサイトに対策の見直しが必要な理由

このような状況のなか、中西氏が「今、クレジットカード決済を使う全ての企業が対策をしなければいけない」と声を上げる理由は、2つのガイドラインの改定だ。

PCI DSSの改定

1つは2024年4月に有効になった、国際的なクレジットカードセキュリティ基準を定めた「PCI DSS v4.0」である(現在は、v4.0.1で監査が実施されている)。このアップデートで「要件6.4.3」と「要件11.6.1」が加わった。

要件6.4.3に新規で追加された要件は「消費者のブラウザに読み込まれ実行される、全てのペイメントページスクリプトを管理すること」だと同氏は説明する。要件11.6.1では、ペイメントページの不正な変更を検出し、対処するメカニズムが実装されていることが求められている。

「PCI DSS v4.0はすでに監査が始まっており、何らかの対策が必要です」(中西氏)

クレジットカード・セキュリティガイドラインの改定

もう1つは、2025年3月に改定された、国内事業者のみに適用可能な「クレジットカード・セキュリティガイドライン6.0」である。この改定に伴い、クレジットカード決済を取り扱う全てのWebサイトでは多層的な脆弱性対策と不正ログイン対策が必須となった。

日本では2018年の改正割賦販売法の施行時にクレジットカード決済を扱うEC加盟店に対し、PCI DSS準拠、またはクレジットカード・セキュリティガイドラインに基づきカード情報の非保持化が義務付けられた。非保持化とは、ECサイト上でクレジットカード情報を保存、処理、通過しないことを指す。つまり、第三者を経由したクレジットカード決済を行うということだ。

しかし今回の改定で、カード情報の非保持化だけでは対策として不十分であり、システム画面のアクセス制限と管理者のID/パスワード管理、設定不備の対策、Webアプリケーションの脆弱性対策、不正な会員登録の防止、第三者によるアカウント乗っ取りの防止といった不正ログイン対策など、多層的なカード情報流漏えいの防止対策を施すことが求められるかたちとなった。その脆弱性対策にカード情報スキミングの対策も含まれる。

「3月に改定されたものの、そのことがあまり周知されておらず、非保持化のみで対策をしているWebサイトがまだまだ多数あります。この改訂の対象となるサイトは、いわゆるEコマース事業者のサイトだけではなく、国内でクレジットカード決済機能を持ち非保持化方式を選択している全てのサイトが対象であるという点にも注目が必要です。来春までに、カード会社から対応状況に関する調査票が順次届くはずです」(中西氏)

Webスキミングの手口

では実際、年々進化しているというWebスキミングの手口にはどのようなものがあるのだろうか。中西氏が挙げたのは大きく分けて2つの経路からの侵入だ。

  • Webスキミングの手口のイメージ図

    Webスキミングの手口のイメージ図

ファーストパーティへの侵入

1つ目はECサイトなどを運営する企業が自社で持つWebサイトへの侵入である。攻撃者は標的とするWebサイトにゼロデイ攻撃や不正ログインをして侵入、サイトにアクセスしたユーザーのWebブラウザ上でフォームに入力されたクレジットカード情報や個人情報をスキミングするJavaScriptを埋め込む。

ファーストパーティへの侵入の被害例

2024年10月に発覚したタリーズコーヒージャパンの個人情報漏えいがこのパターンに当てはまる。同社が運用するオンラインストアが侵害を受け、ファーストパーティーコンテンツに不正なJavaScriptを埋め込まれたと考えられる。その結果、Webサイトにアクセスした顧客のブラウザから入力した約53000件のクレジットカード情報が漏えいした。

ファーストパーティへの侵入の対策

このようなファーストパーティのWebサイトを狙ったWebスキミングの場合、1つの対策としてWAF(Web Application Firewall、ウェブアプリケーションファイアウォール)の導入が考えられる。WAFはWebアプリケーションに特化したセキュリティ対策であり、HTTPリクエストを解析して不正なアクセスを解析、検知、遮断する。そのため、Webスキミングを引き起こすWebサイトの侵害およびコンテンツ改ざんへの対策としては一定の効果が期待できるが、中西氏は「WAFだけではJavaScriptを改ざんされる可能性は残っている」と話す。

例えば、Webアプリケーション上の設定の不備を突かれる、CMS(Contents Management System、コンテンツ管理システム)への不正ログインといった、WAFでは検知が難しい攻撃手法も存在する。そのため、同氏は「(WAFだけではなく)複数の手段を組み合わせた多層防御が必要」だと強調した。

サードパーティへの侵入

2つ目はWebサイト上で利用している外部サービスからの侵入だ。今、多くのWebサイトはユーザーの利便性向上などを目的に、さまざまな企業のサービスを連携し、多数のサードパーティスクリプトを利用している。 中西氏はアカマイ・テクノロジーズを例に挙げ、「弊社の公式サイトでも全スクリプト中、68%がサードパーティスクリプト」だと述べた。Eコマースサイトや、決済サービスなどを組み込んでいるB2C向けサイトの場合、サードパーティスクリプトの利用割合はさらに増える傾向にある。

サードパーティへの侵入の被害例

2022年10月に起きたショーケース社の例では、同社が運用するSaaS型サービスが侵入を受け、ソースコードが改ざんされた。その後、ショーケースのサービスを導入していた別の企業が運営するECサイトにアクセスした利用者のクレジットカード情報や個人情報がスキミングされ、外部に送信されていたことが判明したという。

サードパーティへの侵入の対策の難しさ

このようなサードパーティへの侵害は、サイトを保護するWAFの監視対象外で起こるため、事業者自身での検知が難しい。また、情報を窃取する際に用いられる入力フォームは、正規の入力フォームに先んじて表示され、正規のフォームに似せて巧妙につくり込まれているため、ECサイトなどにクレジットカード情報や個人情報を入力するユーザーに対策を求めるというのも現実的ではないだろう。

「ユーザー側のPC環境はさまざまで、必ずアンチウイルスソフトなどの対策ソフトが入っているわけではありません。アンチウイルスソフトでは検知できない攻撃も多くなっています。その結果、不正な購買が発生するまで、(情報の)窃取に気付かないケースがあるのです」(中西氏)

サードパーティへの侵入の対策①

それに対し、PCI DSSでは、「CSP(Content Security Policy、コンテンツセキュリティポリシー)」が推奨されている。CSPは「HTTPレスポンスヘッダーを利用し、サーバサイドからブラウザにコンテンツの利用ポリシーを通知し、改ざんされたコンテンツやスクリプトによって起きるWebスキミングやクロスサイトスクリプティングなどの攻撃を防止する仕組み」だと中西氏は説明する。具体的には、例えばCSPポリシーにスクリプトのハッシュ値を埋め込んで、改ざんの有無を検証するといったやり方がある。しかし、CSPでの対策は「理論上は有用だが、実際の運用では課題が多い」と同氏は指摘した。

通常のWebサイトではコンテンツやスクリプトの更新は頻繁に行われる。また、サードパーティのスクリプトは予告なく更新されるため、それらが全て正しいのかを人の目で判断することは難しい。さらに、ハッシュ値などで厳密に改ざんを管理しようとするほど、予期せぬ正規のスクリプト更新によってサイトが機能しなくなる可能性が生じてしまう。

では、クレジットカード情報や個人情報に関するページだけを集中して検証するのはどうか。同氏は「悪性スクリプトは必ずしも決済に関連するページに含まれるわけではない。“潜伏型”のスクリプトは他のページで読み込まれ、ユーザーが決済ページに近づくと動き出すものがむしろ多い。悪性のスクリプトが読み込まれる可能性のあるサイト内の全てのページの内容を把握して内容をチェックするという運用が、果たして人力で続けられるだろうか」と述べた。

サードパーティへの侵入の対策②

もう1つの対策として、サーバサイドではなく、ユーザーサイド、つまりユーザーのブラウザ内で、カード情報を盗んだり、その情報を外部に送信しようとしたりといった不正なプログラムのふるまいを検知する方法がある。例えば、Akamaiの提供する「CPC(Client-side Protection & Compliance、クライアントサイドプロテクション&コンプライアンス)」はその方式をとっている。これは、検査用のJavaScriptをサイトにアクセスしたユーザーのブラウザに自動的に送信し、ブラウザ内での挙動を監視することで、悪意のあるスクリプトの動作や、危険な外部サイトとの通信を検知する仕組みである。この手法であれば、ファーストパーティ、サードパーティどちらからの侵入であっても、それらが全て集まる利用者のブラウザ上で、常に不正な動作を検知することが可能だ。

手口の巧妙化

このように、Webスキミングへの対策は進化し続けている。しかし、前述のように、攻撃者側の手法の高度化もとどまるところを知らない。

例えば、主に日本のECサイトを狙う「Water Pamola」と呼ばれる攻撃キャンペーンは、XSS脆弱性を持つサイトにユーザーを装った攻撃者が注文を行い、悪意あるスクリプトを注文のコメント欄に埋め込む手法だ。最初の標的はサイトの管理者であり、管理者がコメントを自身のブラウザで開いた際にスクリプトが実行されることで管理者情報などを取得し、その結果サイト内でより深刻で大規模に機密情報を窃取しようと試みる。

また、アカマイ・テクノロジーズが発見した最近の手法では、エラー処理を悪用した高度なスキミング手法もあったという。さらに、ブラウザ内でスキミングの処理を完了後にコードを自壊する仕組みを用いるケースも見つかっており、攻撃を受けた企業が後から分析を試みようとしても明らかな痕跡が残っていないという事例もある。

中西氏は改めて、Webスキミングの手口が巧妙化していることを語ったうえで、とくにこれまで弱いセキュリティ対策で十分と考えてきた非保持化Webサイトの管理運用者はリスクに対する強い危機感を持つべきだと強調した。同氏が示した対策は以下の3点だ。

  • 1. Webサイトの防御を強化する(脆弱性対策)
    • • 利用中のサーバアプリやプラグインに、既知の脆弱性が存在していないか
    • サーバの管理者のアクセス権、ディレクトリ設定に不備はないか
    • サーバやCMSの管理者ログインに、MFA(Multi-Factor Authentication、多要素認証)を導入しているか
    • WAFで、サーバアプリやCMSへの攻撃をリアルタイムに検知/ブロックできているか
    • サーバへのマルウェアアップロードを検知できる体制が整っているか

  • 2. クライアントの対策を追加する(ブラウザ内での悪性JavaScript対策)
    • • サイト内のどのページでマルウェア(またはその亜種)がダウンロードされても、ブラウザ内でのスキミング挙動を検知/阻止できるか

  • 3.サービス利用者の不正ログイン、アカウント乗っ取り対策を講じる
    • • 利用者にMFA(パスキーなど)を提供し、利用を促しているか
    • 多層防御の一環として、ボット検知や行動的生体認証などの対策を導入しているか

    年々巧妙化するWebスキミング。検知しづらいうえ、実際に不正購買が発生するまでは、サービス提供側の企業もユーザーも情報漏えいに気付きにくい。だが、一度漏えいしてしまえば、企業が負うべき責任は非常に大きい。そのようなリスクを軽減するためにも、Webスキミングへの対策を改めて見直してみてはいかがだろうか。

    中西一博

    中西一博

    なかにしかずひろ

    アカマイ・テクノロジーズ マーケティング本部 プロダクト・マーケティング・マネージャー
    日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピューティング製品のマーケティングを担当。ニュースや記事、セミナーで、最新のサイバー攻撃やクラウド/エッジコンピューティングの動向、最新ソリューションのしくみと導入例などを、消費者と元情シスの視点を活かして分かりやすく解説している。

    この監修者の記事一覧はこちら

    セキュリティ関連の注目ホワイトペーパー

    暗号化の2030年問題とは? 企業が備えるべき暗号化にまつわる重大リスク
    一貫したセキュリティがもたらす利益を試算。運用の効率化を実現するには
    寄せ集めのセキュリティツールでは実現できない、完全に統合されたSASEの強みとは?
    境界防御型セキュリティ対策の満足度は? 調査結果から明らかになった国内企業の動向に迫る

    セキュリティの基本を知る! オススメ記事

    ランサムウェアにどう対応すべきか、実践方法をレクチャー
    【マルウェア対策ガイド】感染経路やリスク、予防策を指南
    EDR、MDR、XDRとは? 押さえておきたいセキュリティのキーワードを解説
    エンドポイントセキュリティの基本を解説 - リスクを減らすためにすべきこととは
    ゼロトラストを基本から解説! “誰も信頼しない”セキュリティとは?
    セキュリティ強化のために知っておきたいサイバー攻撃 - 動向と対策
    知っておきたいサイバー攻撃 - 動向と対策
    情報資産を守るために必要なネットワークセキュリティの基本
    今、製造業が考えるべきセキュリティ対策とは?
    ランサムウェア対策の基礎知識 - 感染経路、対策、発覚後の対応
    AIを悪用したサイバー攻撃にいかに対処すべきか
    フィッシング攻撃とは - 主な手法やリスク、最新の対策方法を徳丸氏が解説
    OWASP Top 10からひも解くリスクを専門家が解説 - Webセキュリティ担当者必見!
    OWASP Top 10 for LLM Applicationsから見る、LLMにおけるセキュリティリスクとは
    DDoS攻撃とは - 攻撃手法から対策まで、セキュリティの専門家が解説