ショッピングサイトでクレジットカードを使うとき、「クレジットカードの情報をアカウントに登録すれば次から買い物が楽ですよ！」と画面に表示されることがあります。

が、大事な大事なクレカ情報を、外部のWebサービスに保存するなんて怖くないですか？もしハッキングされて盗まれたりでもしたら…

と思ってませんか？

でも最近はそうでもないんです。もしかしたら、毎回入力する方がかえって危険かもしれません。

最近の攻撃手法は「入力画面を改ざんする」

クレジットカードの情報を盗む方法って、サーバーに不正侵入してデータを盗むことだと思っていませんか？

確かに昔は実際そうでした。不正アクセスによる情報流出がかつては問題視されたので、ショッピングサイト等は「クレカ情報を自社サーバーに保持してはならない」という法律までできました。（割賦販売法の改正）

で、実際その法律が施行されているのに、クレカ流出事件は全然減ってない（むしろ増えてる）のです。

それは、最近のクレカ情報を盗む手法が、

「クレカ情報を入力する画面（決済画面）を改ざんし、横から勝手に情報を掠め取る」または「偽の入力画面にクレカ情報を入力させる」

だからです。

よくあるフィッシング詐欺（メールなどで偽サイトに誘導する）と違い、サイト自体は正真正銘の本物です。そのサイトの入力フォームの内部処理だけを改ざんし、入力されたデータの送り先を変えるのです。

よくある例では、実際の決済確認画面にクレカ情報が送信される際、それをこっそり別のサーバーにも横流しするような処理が挟まります。

サイトの見た目には一切違いがありません。見た目で判断するのはもはや不可能です。

他にも手が込んだ方法としては、

①「決済画面に進む」ボタンを押す
②入力フォームが表示されるのでクレカ情報等を入力し、「決済」ボタンを押す
③「入力ミスがあります、再度入力してください」的なメッセージが出て、「再度決済する」ボタンを押す
④同じ入力フォームが再表示されるので再入力して「決済」ボタンを押す
④無事支払いが完了する

という段取りになっていて、このうち②と③が偽の決済画面という仕組みになっているパターンも…

まず①の「決済画面に進む」ボタンが改ざんされていて、偽の入力フォーム②に飛ばされます。そこに入力させられてクレカ情報を送信してしまった後は、「エラーなのでもう一回入力してください」的な嘘をついて今度は本物の決済画面に飛ばすのです。④は本物のクレカ情報入力画面です。なので、最終的にちゃんと買い物ができます。

このパターンも、目当ての商品が買い物できているので、実はその途中でエラー再入力と称して情報が盗まれていることに気付きにくいのです…恐ろしい…

実際にあった事例

ショッピングサイトにおけるクレカ情報の漏洩、ぱっと調べただけでもモリモリ出てきます。ほんの一例ですが紹介します。

コダマオンラインショップ（2021/3/18）

https://kodama-ham.com/news/604b2f786e84d51c7b8616b1

TANAX(2021/10/27)

https://www.tanax.co.jp/motorcycle/topics/900.html

かねたや家具店(2021/10/28)

https://www.kanetaya.com/infomation2021.pdf

パーツクラブオンライン(2021/11/1)

https://www.endless-inc.jp/img/news/211101.pdf

これらの漏洩事件の報告を読むと、いずれも原因として、
「第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。」と書かれています。つまり今まで説明してきた手法で決済画面を改ざんして情報を盗んでいるのです。

フォームジャッキング、またはWebスキミング

このように、入力フォームを改ざんしてデータを盗む攻撃手法のことを「フォームジャッキング」といいます。

または「Webスキミング」と呼ばれることもあります。

カード読み取り装置にこっそり情報を盗み取る装置をくっつけておいて、カードが挿し込まれるとデータを盗れる手法のことをスキミングといいます（下の画像を参照）それのWeb版なのでWebスキミング。

セブン銀行より引用（https://www.sevenbank.co.jp/support/info2013022801.html）

これ、どうやって対策すればいいの？

恐ろしいことに、我々いち利用者の側でWebスキミングに対策できることはほぼありません。
フィッシング詐欺と違ってこちらの観察眼で看破できるようなものでもないし、クラッカーはスキミングするためのスクリプトの中身を巧妙に分かりにくくしていて、現状はマルウェア対策ソフトでも確実に検出できるとは限らないからです。

基本的にはショッピングサイトの運営側が、自社システムに侵入・改ざんされないようセキュリティ対策を徹底するしかありません。

でもさすがに我々の方で何も対策できないのも困るので、少しでもWebスキミングを回避できる方法を考えてみよう。

①クレジットカード情報を入力しない

身も蓋もないですが真実。でもこれじゃ一生クレカでネットショッピングできないので、もう少し考えます。

①-2　クレカ情報をアカウントに保存（登録）する

例えばAmazonなどではクレカ情報をアカウントに保存することができます。一度保存すれば次からは入力しなくて便利ですが、Amazonのサーバーに自分のクレカ情報を保存することは情報漏洩のリスクがあります…

…あるといっても、これまで散々話した通り盗みの手法の今のトレンドはWebスキミングの方です。

現実的に考えて、世界に名だたるAmazonの顧客情報データベースに真正面から不正アクセスを試みるなんて自殺行為にも等しいし、正直頑張っても無理だと思います。なので、（Amazonはきっと情報漏洩なんて起こさないと信頼できるなら）保存しておく方がむしろ安全という結論になっちゃうんですね……。

①-3 Amazon PayやPayPalなどの決済サービスを使う

AmazonにはAmazon Payという決済サービスがあります。Amazon外のショッピングサイトでも、Amazon Payでの支払いに対応していればAmazonのアカウントで決済できるのです。

これを使えばショッピングサイトにクレカ情報を入力せずに、Amazonに登録しておいたクレカで買い物ができます！

Amazon PayのほかにはPayPalも老舗の決済サービスで有名です。PayPalにクレカ情報を登録しておくと、以後はクレカ情報を入力することなくPayPal経由で決済ができるようになります。

老舗ゆえに数多くのサイトがPayPalでの決済に対応しており、これも便利で安全なサービスと言えますね。

②プリペイド式のクレカを別途用意する

もう一つ考えられる対策は、事前チャージが必要なプリペイド式のVISAカードなどを使ってネットショッピングを行うことです。

これなら万が一スキミングされても、どのみち事前チャージしないことには買い物ができないので被害はほとんどありません。窃取そのものを防げるわけではありませんが…

ネットショッピング専用の、審査もなく使い捨て感覚ですぐ発行できるVプリカなどは、Webスキミング対策としても活用できそうです（使い捨てなので一回使ったらすぐ捨ててもいい）

まとめ！

• 最近はクレカの入力画面を改ざんして入力情報を盗む手法が流行ってるよ！

• 見た目で見抜いたり対策したりすることはほぼ不可能だよ！

• 入力する行為が危険なので、入力せずに済む方法でなんとか回避しよう！

以上！！！！！！

iパスに関する記事をまとめたマガジンはこちら↓