フォームジャッキングとは?手口や事例、対策方法について解説

2021/11/19

※本記事はかっこ株式会社「不正検知Lab -フセラボ-」掲載記事の転載です。
URL:https://frauddetection.cacco.co.jp/media/securityterms/1026/

2018年以降、「フォームジャッキング」と呼ばれるECサイトの決済フォーム改ざんによる不正被害が拡大しています。

この記事では

  • フォームジャッキングとは何か
  • フォームジャッキング被害が増加している背景
  • フォームジャッキングを防ぐための対策

といった内容を解説します。

この記事の目次

フォームジャッキングとは、情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法を指します。

具体的には以下の2つの手口が確認されています。

手口①

1つ目の手口はリンク型決済です。

こちらの手口はECサイトを改ざんし、ユーザーが決済へ進むと偽のカード情報入力画面に誘導されます。

偽の画面にカード情報を入力し送信するとカード情報が不正者の元へ送信されてしまいます。

送信後、一度エラー表示となり正しい決済画面へと誘導されるためユーザーは情報を盗まれたことに気づきにくいです。

手口②

2つ目の手口はトークン型決済と呼ばれるもので、ユーザーが入力フォームにカード情報を入力し確認ボタンをクリックすると、そのフォームに仕掛けられたJavaScriptが作動してカード情報がカード会社だけでなく、不正者にも送信されてしまうという仕組みです。

こちらも正しい決済画面から知らぬ間にクレジットカード情報が盗まれてしまうのでユーザーが不正に気づくことは難しいです。

これらの「フォームジャッキング」は、実店舗のクレジットカード決済端末機(CAT)などにスキマーという装置を仕掛けてカード情報を盗み出す「スキミング」という手口になぞらえて”WEB版のスキミング”とも呼ばれています。

フォームジャッキング増加の背景としては、皮肉なことですがECサイトなどでカード情報の非保持化が進んだことも理由に挙げられるでしょう。

2018年6月に施行された改正割賦販売法の、実務上の指針となっている「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-(実行計画2019)」では対策の3本柱が述べられています。

「実行計画」における対策の3本柱

  1. クレジットカード情報保護対策:カード情報を盗らせない
  2. クレジットカード偽造防止による不正利用対策:偽造カードを使わせない(主に実店舗)
  3. 非対面取引におけるクレジットカードの不正利用対策:なりすましをさせない(主にEC)

このうち 1 の対策として「加盟店におけるカード情報の非保持化」が記載されています。
ハッキングされて加盟店(EC事業者など)のサーバーに侵入されたとしても、そもそもカード情報を持っていなければ盗られようがありません。
(もちろん、侵入されてしまうこと自体は大きな問題ですが。)

そこで不正者は、情報がないなら入力させてしまえばいいと、フォームジャッキングという手口に移行してきたわけです。

ハッキングを防ぐことができれば、フォームジャッキングも含め加盟店に起因する流出は大きく減らせるはずですが、1社あたり一億円の投資が必要という専門家の意見もあり、現実的には難しいところです。

参考:金融情報流出、日本で急増 被害1兆円の試算│日本経済新聞

2019年5月、オープンソースのEC構築システム「EC-CUBE」を提供している株式会社イーシーキューブがフォームジャッキングに対する注意喚起を発表しました。ここではECサイト運営者にむけて効果の見込める対策や具体的なチェック事項を紹介しています。

参考:【重要】サイト改ざんによるクレジットカード流出被害が増加しています。│EC-CUBE

フォームジャッキングによるカード情報流出が多発している中、ECサイト運営者は利用しているサーバーやシステムのセキュリティ対策をこれまで以上に検討・実施していく必要があります。

当サイトが考えるフォームジャッキングへの対策としては

  • 管理画面のURLを推測されにくいものにする
  • ファイアウォールの設定
  • WAFの導入
  • IPSの導入
  • IPアドレス認証
  • Basic認証

といったものが挙げられます。

フォームジャッキングは注文画面などの改ざんによって行われます。

改ざんのためには、ECサイト等のサーバー・管理画面への侵入が必要ですから、それを防ぐセキュリティ対策が有効です。

対策の1つとして、セキュリティ会社などが提供する「脆弱性診断」を受け、現状を知るのもおすすめです。

上記の対策について、詳しくは以下の記事をご覧ください。

フォームジャッキングの被害状況や防止策。ECサイト利用が増える今、不正検知や対策を。 | 不正検知Lab -フセラボ- by cacco

また、当サイトを運営するかっこ株式会社は不正検知システムを提供しています。

不正検知に関するご相談は常に受け付けていますので、

  • 現状に不安がある
  • どんな不正対策から導入すればいいかわからない

といった方は、ぜひご相談ください。

■アクセスから注文まで一貫して対応 かっこの不正検知サービス
      
お気軽にお問い合わせ・ご相談ください
決済代行、越境EC、EC総合支援サービスの導入なら決済代行専業会社のDGフィナンシャルテクノロジー(旧:ベリトランス)へ。お急ぎの場合はお電話にてご連絡ください。

受付時間 平日10:00〜17:00 03-6367-1510

  • 資料請求
  • お問い合わせ

    すぐにお見積り送付!

    すぐにお見積り送付!

  • 試用プログラム

【ご案内】ベリトランスはDGフィナンシャルテクノロジー(DGFT)に社名変更しました。また、グループ会社イーコンテクストの決済事業も承継し、DGFTにて提供しております。