機密性の高い支払いデータが傍受されているかどうかわからないままオンライン ショッピングをしているところを想像してみてください。この増大するサイバー脅威であるデジタル スキミング (e-スキミング) は、航空券の予約からコンサート チケットまで、正規の Web サイトであらゆるものを購入しているオンライン ショッピング ユーザーをターゲットにしています。
サイバー犯罪者は、支払いフォームに悪意のあるコードを書き込んでユーザーを偽のページにリダイレクトすることで、チェックアウト時にクレジットカード情報を盗みます。デジタルスキミングにより、攻撃者は大量のデータを盗み、物理的にアクセスすることなくダークウェブで販売することができます。オンラインストアを保護するには、これらの行為を防ぐ必要があります。 攻撃だからこそ、私たちはあなたを助けるためにこの便利なガイドを書きました。
目次
デジタルスキミングの概要
デジタルスキミングの仕組み
デジタルスキミング攻撃の種類
デジタルスキミングの脅威を見分ける方法
予防および緩和戦略
まとめ
デジタルスキミングの概要
オンライン ショッピングが増加するにつれて、サイバー犯罪者はデータや金銭を盗む方法を進化させてきました。今日では、ATM や POS 端末を物理的に改ざんする代わりに、洗練されたオンライン スキミング技術が使用されるようになり、電子商取引の成長に伴い、データ盗難の収益性は高まっています。
ハッカー集団の集まりである Magecart は、この進化を変え、悪意のある JavaScript を Web サイトに挿入して、買い物客が入力した支払い情報を取得できるようにしました。
攻撃者がチェックアウトページでサードパーティのコードを使用して小売店や電子商取引を狙うという脅威は増大している。2022年には、デジタルスキマーが約17,000のウェブサイトの従来のセキュリティ対策を回避し、企業に総額数百万ドルの損害を与え、顧客データが失われるリスクを負った。
デジタルスキミングの仕組み
デジタルスキマーは、セキュリティ上の欠陥を利用して Web サイトに侵入します。典型的なターゲットは、サードパーティのスクリプト、JavaScript ライブラリ、および適切に構成されていない Amazon S3 バケットです。足場ができたら、チェックアウト ページに悪質なコードを挿入して、カード情報をこっそり盗みます。Magecart ツールキットは、支払いフォームにスキミング コードを埋め込むことで特に悪名高いです。
攻撃者は、自動化されたソフトウェアを使用して複数の Web サイトをスキミングし、悪意のあるスクリプトを分析ツールや監視ツールとして隠して検出を回避できるようになりました。
その後、顧客の支払い情報が盗まれ、攻撃者が管理するサーバーに送信され、ダークウェブ マーケットで販売されたり、不正な購入に使用されたりします。サードパーティのコードを侵害するこの方法は、現代の電子商取引サイトの複雑な統合を悪用し、うまく機能します。デジタル スキミングは、これらの攻撃が巧妙で何年も検出されない可能性があるため、オンライン小売業にとって脅威となります。
デジタルスキミング攻撃の種類
ハッカーが電子商取引サイトを攻撃するために使用する最も一般的なスキミング手法は次のとおりです。
電子商取引スキミング
最近の電子商取引スキミングは、決済システムをターゲットにしています。攻撃者は、サードパーティの統合の欠陥を利用して、チェックアウト時に顧客のデータを密かに盗む悪質な JavaScript コードを埋め込みます。スキミング ソフトウェアをインストールするには、管理者の資格情報やプラットフォームの脆弱性を利用することもあります。
これらのステルス攻撃は、クレジットカードのデータを収集し、数か月から数年にわたって攻撃者が管理するドメインに送信する可能性があります。マルウェアは支払いプロセスに隠れているため、小売業者はこれらの侵害の原因を特定するのに苦労しています。
POSスキミング
POS スキミングは物理的な決済端末をターゲットにし、e コマース スキミングはオンラインの決済ページをターゲットにします。これらの攻撃者は、ネットワークの脆弱性や POS ソフトウェアの欠陥を悪用して、対面取引中にクレジットカードのデータを盗みます。
この方法は、粗雑なハードウェアの改造から進化しており、POS 端末に対する最新のデジタル攻撃は非常にシームレスであるため、小売業者は従来のセキュリティ対策ではそれを検出するのに苦労しています。
ATMスキミング
ATM スキミングを実行する犯罪者は依然として ATM に物理的にアクセスする必要がありますが、その手法はカード リーダーや隠しカメラを超えて進歩しており、現在ではデジタル手法を使用してカード データや PIN を盗むことができます。
最新のスキミング デバイスは、目立たないようにインストールしてリモートでデータを収集できるため、侵害されたマシンに頻繁にアクセスする必要がありません。物理的なアクセス ポイントに限定されますが、この進化は電子商取引攻撃の巧妙さを反映しています。
デジタルスキミングの脅威を見分ける方法
消費者にとっての危険信号
オンライン ショッピングは危険ですが、注意すべき点を知っておくことで、支払い情報を保護できます。チェックアウト時に見慣れないページにリダイレクトされるのは、危険信号 1 つにすぎません。見慣れないチェックアウト ページには、フォーム フィールドや不適切なレイアウトがある場合があります。チェックアウト ページの速度が遅い、または情報が事前に入力されているフォームは避けてください。
カード情報を入力する前に、ウェブサイトのアドレスが「https」で始まっていること、つまりウェブサイトがデータを暗号化していることを確認してください。セキュリティを強化するには、仮想クレジットカードまたは信頼できる支払いサービスを使用してください。これらの簡単なチェックは、クレジットカード情報の盗難を防ぐのに役立ちます。
電子商取引ビジネスの指標
電子商取引ビジネスでは、ウェブサイトの行動、特に支払いを監視する必要があります。予期しないコードの変更やチェックアウト ページのスクリプトは、誰かがプラットフォームに侵入しようとしていることを意味する場合があります。顧客がチェックアウトに関する奇妙な問題について苦情を申し立てたり、通常よりも支払いの失敗が多いことに気づいたりした場合は、何か問題がある可能性があります。
最新のセキュリティ ツールはスキミングを早期に検出できます。攻撃者より先に脆弱性を見つけるためにスキャン システムを使用し、異常なパターンを見つけるためにサイトの使用状況を監視してください。外部コードを追跡し、サイト上の機密データを暗号化します。これは、オンライン ストアのセキュリティ システムを導入するのと似ています。つまり、問題が悪化する前にそれを捕捉する必要があります。
定期的なセキュリティ チェックにより、顧客データとビジネスの評判が保護されます。ハッカーが顧客データを盗む前に、疑わしいアクティビティを迅速に検出する必要があります。
予防および緩和戦略
消費者向け
PayPal やクレジットカードなど、詐欺を監視する安全な支払い方法を使用してください。取引を監視し、ときどき簡単にチェックすることで、問題を早期に発見できるようになります。Web サイトが 2 要素認証を提供している場合は、それを使用してください。
企業向け
オンライン ストアを運営している場合は、安全性を最優先にしてください。Web サイトのコードを頻繁にチェックすることで、攻撃者より先に弱点を見つけて修正することができます。また、支払いフォームが安全であることを確認し、サイトに予期しない変更がないか注意してください。
最近では、セキュリティ ツールによって、支払いページでの疑わしいアクティビティを即座に検出して停止し、顧客の情報を安全に保つことができます。
テクノロジーとソフトウェアソリューションの役割
スキミングを防ぐために、いくつかの重要なテクノロジーを組み合わせて使用できます。サイトのコンテンツ セキュリティ ポリシーは、スクリプトに実行できる操作と実行できない操作を指示し、サブリソース整合性は外部ファイルが変更されていないかどうかをチェックします。
Web アプリケーション ファイアウォールは、有害なトラフィックがサイトに到達するのを阻止します。さらに、新しい機械学習ベースのツールは、誰かがデータを盗もうとしていることを示す可能性のある異常なパターンを認識できます。
法的および規制的側面
GDPR や PCI DSS などの法律では、支払い情報を安全に保つ方法が明確にされています。つまり、企業は個人データを暗号化し、誰がそれを閲覧できるかを管理し、セキュリティの穴がないか常にチェックする必要があります。
電子商取引ストアを運営している場合は、罰金を科せられる可能性があるため、これらの規則に違反しないように注意してください。これらの規則は、支払いを処理するオンライン販売者が安全に支払いを処理できるようにするために役立ちます。
まとめ
デジタルスキミングは、オンラインストア、カードリーダー、ATM への攻撃を通じて、消費者と企業の両方をターゲットにします。企業は、データを保護するために、ファイアウォールや AI 監視システムなどの強力な防御が必要です。顧客は、安全な支払い方法を使用し、アカウントを確認することで安全を確保できます。
顧客のデータが盗まれた場合、企業は大きな損失を被ります。顧客の信頼を失うだけでなく、GDPR や決済セキュリティ基準に基づいて訴訟を起こされる可能性もあります。スキマーに打ち勝つには、企業と顧客の両方が警戒し、セキュリティを真剣に受け止め、展開されている最新の戦術について調べる必要があります。
