ECサイトが被害に｜フォームジャッキングとは？手口と対策を解説

近年、アパレル商品や小物、家電製品に至るまで様々な物をネットで購入することができるようになりました。「Amazon」や「楽天」、または各企業・各ブランドのECサイトを日常的に使われている方も多いのではないでしょうか。
総務省 令和5年版「情報通信白書」によると、EC市場はコロナによる追い風を受けたこともあり世界的に成長傾向にあるそうです。

こうしたデジタルの発展は、人々の生活がより便利になる一方で、サイバー攻撃による被害も発生します。
今回ご紹介する「フォームジャッキング」は、ウェブサイトのフォームに不正なスクリプトを埋め込むことで、ユーザーが入力する個人情報やクレジットカード情報を盗み取る手法です。

この記事では、フォームジャッキングの基本的な仕組みから、実際にどのような被害が発生するのか、さらには効果的な対策方法までを詳しく解説します。

フォームジャッキングとは、悪意のある第三者がウェブサイトのフォームに不正なスクリプトを挿入し、ユーザーが入力する情報を盗み取る手口を指します。具体的には、ECサイトの決済ページやログインページにスクリプトを埋め込み、ユーザーが入力するクレジットカード情報や個人情報をリアルタイムで攻撃者に送信します。この手法は、被害者が自分の情報が盗まれていることに気付かないまま被害を受けるため、非常に巧妙かつ危険です。

攻撃者はターゲットとなるウェブサイトに不正なスクリプトを挿入します。このスクリプトは、ユーザーがフォームに入力した情報をキャプチャし、攻撃者のサーバーに送信します。例えば、クレジットカードの決済ページにこのスクリプトが埋め込まれている場合、ユーザーが入力するカード情報がそのまま攻撃者に渡ります。このため、ユーザーは自分の情報が盗まれていることに全く気づかないまま被害を受けることになります。

フォームジャッキングによる最大のリスクは、個人情報の漏洩です。攻撃者は、ユーザーが入力した名前、住所、電話番号、クレジットカード情報などを不正に取得します。この情報は、詐欺や不正取引に利用される可能性が高く、被害者にとって深刻な問題を引き起こします。また、一度漏洩した情報はインターネット上で拡散し続けるため、完全に回収することはほぼ不可能です。

金銭的被害は、フォームジャッキングの直接的な結果として発生します。クレジットカード情報が盗まれると、攻撃者はその情報を使って高額な買い物を行うことが可能です。また、被害者の銀行口座からの不正引き出しも行われることがあります。これらの被害により、被害者は大きな経済的損失を被る可能性があり、さらに不正取引の補償手続きにも時間と労力がかかります。

EC-CUBEはカスタマイズ性が高く、多くの中小規模のECサイトで採用されております。2019年、脆弱性問題を抱えていた最中、フォームジャッキング被害が発生。複数のEC-CUBEサイトが攻撃を受け、顧客の個人情報や決済情報が漏洩する事件が発生しました。このような事件は、ECサイト運営者にとって大きな課題となっています。

参考：EC CUBE「【重要】サイト改ざんによるクレジットカード流出被害が増加しています」

フォームジャッキングを防ぐための一つの対策として、管理画面のURLを推測しにくい文字列に変更することが挙げられます。標準的な管理画面のURLは容易に推測されることが多いため、これを難解な文字列に変更することで、攻撃者が管理画面にアクセスしにくくなります。例えば、「/admin」ではなく、「/admin-9x7w2f3k」のようなランダムな文字列を使用することで、セキュリティを向上させることができます。

フォームジャッキング対策として、管理画面へのアクセス制限を強化することも重要です。特定のIPアドレスのみからアクセス可能にする、二段階認証を導入する、VPNを使用するなどの対策を講じることで、攻撃者が管理画面にアクセスするリスクを大幅に減少させることができます。これにより、管理画面の不正利用を防ぎ、サイト全体のセキュリティを強化することが可能です。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。