JC3参画で実施したWebスキミング対策について警察庁から表彰を受けました

ラックはこのたび警察庁から感謝状をいただきました。評価を受けたのは、私たちが一般財団法人 日本サイバー犯罪対策センター（以下、JC3）の活動に参加し、Webスキミング攻撃による手口の情報提供と技術協力を実施し、広く注意喚起したこと^※1,2に対してです。

※1 ECサイト改ざんによるクレジットカード情報窃取について | 一般財団法人日本サイバー犯罪対策センター（JC3）

※2 LAC WATCH：国内ECサイトの被害を確認、Webスキミング攻撃の実態とラックが考える対策例

ラックはJC3の設立時より参画し、脅威情報の提供や対策の実施で連携しています。これまでもカード情報の漏洩につながる情報を共有しておりましたが、一般社団法人日本クレジット協会によれば、令和3年1月から9月までの間における番号盗用型のクレジットカード不正利用被害額は約223億9000万円に上り、この時点で令和2年中の不正利用被害額を超えました。被害がより深刻なものとなっているのが分かります。

※3 一般社団法人日本クレジット協会ウェブサイト「2021年12月 クレジットカード不正利用被害の発生状況」

JC3では、クレジットカード不正利用が増加した要因の一つとして、クレジットカード情報を窃取するフィッシングサイトの存在を指摘しており、ターゲットも様々な業種の企業へと拡大しておりました。

そのような状況の中で、今回は新たに複数の国内のECサイトが改ざんされWebスキミング攻撃が行われていることを確認しました。インターネットでショッピングをした際、クレジットカード番号などを入力することがあると思います。このWebスキミング攻撃とは、ショッピングサイトなどを不正に改ざんし、入力したクレジットカード情報を攻撃者にも送るように改変してしまう攻撃です。その結果、クレジットカード情報が攻撃者の手元にわたり、カード情報の悪用による不正な送金や買い物につながります。今回はこの手口についてJC3および他会員企業と連携し、実態解明に向けた取り組みを行い、技術面での注意喚起を実施しました。

今回のWebスキミングを見つけるきっかけは、あるセキュリティ企業の製品が検知したJavaScriptの解析結果から、クレジットカード情報を不審なサイトへ送っていることが判明したことが始まりです。監視部門にその不審なサイトへの通信履歴がなかったかを確認したところ、想像より多くあり、そこからいくつかのECサイトが改ざん被害を受けていることがわかりました。

ただし、われわれの調査では、改ざん被害を受けているECサイトの特定、クレジットカードを用いて商品を購入しているユーザに影響があることは確認できたものの、実際に被害の影響範囲がどの程度あるかなどの把握を含めて、われわれの組織だけで被害を防止するのでは不十分だと感じ、JC3の活動の中で、警察の協力を受けることを提案しました。そこで、エビデンスなどをそろえる必要性を感じていたため、ECサイトごとに不審なサイトから配布されていたJavaScriptの解析と不審なサイトへの通信履歴のログから改ざん被害を受けている複数のECサイトを特定し、JC3へ情報提供と共に実施解明に協力しました。

この取り組みが評価され、今回の警察庁からの感謝状につながりました。今後も捜査機関や多くのセキュリティ企業とともに、巧妙化が進む犯罪手口への有効な対策を提供する取り組みに貢献していきます。

ラックが提供するサービス

巧妙化するサイバー攻撃からECサイトを守るために、ご活用いただけるサービスをご紹介します。

ECサイト開発サービス

ラックは、豊富な開発経験と技術の蓄積により、大規模から中小規模までのECサイトの開発サービスを提供しています。ECサイトの特性を踏まえたセキュリティ対策を施します。

クラウドWAF監視・運用

WAFの活用により、DDoS攻撃や従来のファイアウォール、IDS／IPSといった不正侵入検知技術では防御しきれない巧妙化したサイバー攻撃からWebサーバを守ります。

Webアプリケーション診断

ラックは、Webアプリケーションに対し攻撃者視点から様々な疑似攻撃を考察・試行し、安全性を徹底的に調査したいなど要望に応じて、専門家の手動診断を中心としつつ、独自開発の診断ツールと組み合わせた診断を実施しています。