IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
Webスキミングとは? 10分でわかりやすく解説
目次
UnsplashのGlenn Carstens-Petersが撮影した写真
Webスキミングは、WebサイトやWebアプリに不正なスクリプトを混入させ、利用者がフォームに入力した個人情報、認証情報、決済情報などを外部へ送信する攻撃です。被害はサーバー内のデータベース侵害だけでなく、ブラウザ上で実行されるJavaScriptの改ざん、タグマネージャの設定変更、外部スクリプトの侵害からも発生します。対策では、脆弱性修正だけでなく、スクリプトの棚卸し、変更統制、CSPによる実行制御、改ざん検知、初動対応手順までを一体で管理します。
Webスキミングとは何か
Webスキミングの定義と概要
Webスキミングとは、WebサイトやWebアプリに不正なJavaScriptなどのスクリプトを埋め込み、利用者が入力・送信した情報を攻撃者側へ不正に送信する攻撃手法です。典型的には、ECサイトの購入画面、会員登録フォーム、予約フォーム、問い合わせフォームなどが狙われます。
Webスキミングの特徴は、サーバー上のデータベースを直接盗み出す攻撃に限らない点です。攻撃者は、ブラウザ上で入力された情報を取得できれば目的を達成できます。バックエンド側で認証やデータベース保護を行っていても、フロントエンドのスクリプト改ざんや外部スクリプトの侵害があると、利用者の入力情報が抜き取られる場合があります。
Webスキミングの仕組みと攻撃手法
Webスキミングは、一般に次の流れで成立します。
- 攻撃者がWebサイト、タグ配信基盤、外部スクリプトのいずれかに不正スクリプトを混入させる
- 利用者が決済、会員登録、問い合わせなどの対象ページを表示する
- 不正スクリプトが入力イベントや送信処理を監視し、入力値を取得する
- 取得した情報を、攻撃者が管理する外部ドメインへ送信する
混入経路は複数あります。代表的な経路は、Webアプリの脆弱性悪用、管理画面の乗っ取り、クロスサイトスクリプティング、タグマネージャの権限不備、サードパーティスクリプトの供給元侵害、CI/CDやストレージの公開設定ミスなどです。
攻撃者は発見を遅らせるため、コードを難読化したり、特定の国・ブラウザ・ページ・時間帯だけで動作させたりします。そのため、ページ表示や決済処理が通常通り完了していても、入力情報の外部送信が続いている場合があります。
Webスキミングによって引き起こされる被害
Webスキミングの被害は、盗まれる情報の種類と、その後の二次被害によって拡大します。
| 個人情報 | 氏名、住所、電話番号、メールアドレス、会員IDなどが盗まれ、フィッシングや詐欺に悪用される可能性がある。 |
| 決済情報 | カード番号、有効期限、セキュリティコードなどが盗まれ、不正決済に使われるおそれがある。 |
| 認証情報 | ログインID、パスワード、再設定情報などが漏えいすると、アカウント乗っ取りや他サービスへの不正ログインに波及する場合がある。 |
| 企業対応 | 調査、告知、問い合わせ対応、復旧、再発防止策、監督機関や決済関係者への報告などが必要になり、信用低下と対応コストが発生する。 |
決済画面のスキミングでは、利用者の金銭被害やカード停止・再発行が発生しやすくなります。運営側は、対象期間、対象ページ、対象利用者、送信先ドメイン、混入経路を切り分け、被害拡大を止める必要があります。
Webスキミングの発展と現在のリスク
Webスキミングは、ECサイトなど入力情報が集まるページを狙う攻撃として知られるようになりました。現在は、決済情報だけでなく、会員登録、問い合わせ、予約、ログイン、本人確認など、入力フォームを持つページ全般が対象になっています。
Webサイト運営では、解析タグ、広告タグ、チャット、A/Bテスト、決済関連部品など、外部スクリプトを利用する場面が増えています。外部サービスを組み合わせる構成では、供給元、設定、権限、変更履歴のいずれかが管理されていないと、第三者のコードが利用者のブラウザで実行される余地が生まれます。
Webスキミング攻撃の実態
Webスキミング攻撃の発生傾向
Webスキミングは、利用者に気づかれにくい形で情報を取得する攻撃です。よくある発見経路は、カード会社、決済代行会社、セキュリティベンダーからの連絡、または利用者からの不審決済の申告です。
発見が遅れやすい理由は、主に三つあります。第一に、改ざんがフロントエンドで完結すると、サーバーログだけでは外部送信を把握しにくくなります。第二に、正規のページ表示や決済処理は完了するため、機能障害として表面化しにくくなります。第三に、難読化や条件付き実行によって、通常の目視確認や単発の動作確認では見落としやすくなります。
Webスキミング攻撃の対象となるウェブサイト
狙われやすいのは、入力情報が多く、盗まれた情報が悪用されやすいWebサイトです。具体的には次の特徴があります。
- 決済情報を扱うページを持つ
- 会員登録、予約、問い合わせなど、フォーム入力が多い
- CMS、プラグイン、テーマ、ライブラリの更新が滞りやすい
- タグマネージャ、解析タグ、広告、チャットなど、サードパーティスクリプトが多い
- 管理画面や運用アカウントに複数の担当者や委託先がアクセスできる
- 本番環境への変更手順や承認フローが明確でない
企業規模だけで安全性は決まりません。攻撃者は、知名度だけでなく、侵入しやすさ、決済情報の取得可能性、検知されにくさ、同じ手口を横展開できるかを見て対象を選びます。
攻撃者の特徴と分業化
Webスキミングでは、侵入、改ざん、データ回収、売買が分業されることがあります。運営者側にとって優先順位が高いのは、攻撃者の特定よりも、不正スクリプトの停止、送信先の遮断、混入経路の特定、再混入防止です。
そのためには、外部送信先ドメイン、改ざんされたファイル、タグマネージャの変更履歴、管理アカウントの操作履歴、配布基盤のログを確認できる状態にしておく必要があります。技術的な遮断策と、変更を管理する運用統制の両方が欠けると、復旧後に同じ経路から再侵害されるおそれがあります。
Webスキミングによる情報流出の典型例
特定企業の個別事例ではなく、実務で確認されやすい典型例を整理します。
| 決済画面の改ざん | 決済フォームの入力イベントを監視し、カード情報や個人情報を外部ドメインへ送信する。 |
| タグマネージャ悪用 | 正規のタグ配信経路を使って不正タグを配信し、管理者の確認や検知を遅らせる。 |
| 外部ウィジェット侵害 | チャット、解析、広告などの配信元が侵害され、複数サイトへ不正コードが配布される。 |
| 管理画面の乗っ取り | 使い回しパスワードや多要素認証未設定のアカウントが悪用され、テンプレートやタグ設定が変更される。 |
これらに共通するのは、サイトの見た目や決済完了の有無だけでは異常を判断できない点です。対策は、脆弱性修正だけで終えず、スクリプトの配信制御、改ざん検知、変更履歴の監査、外部送信の監視まで含めて設計します。
Webスキミング対策が必要な理由
ビジネスへの影響
Webスキミングが発生すると、被害は盗まれた情報だけで終わりません。漏えいの可能性がある時点で、調査、告知、問い合わせ対応、復旧、再発防止策の説明が必要になります。調査が長引けば、対象期間や対象利用者の確定が遅れ、利用者の不安や問い合わせが増えます。
決済を扱う場合は、決済事業者やカード会社から、調査、報告、再発防止策の提示を求められることがあります。準備が不足していると、復旧判断や再開判断に時間がかかり、売上や継続率にも影響します。
顧客情報流出のリスク
Webスキミングは利用者の損害に直結します。代表的なリスクは次の通りです。
- 個人情報が詐欺やフィッシング詐欺に悪用される
- 決済情報が不正利用され、カード停止や再発行が発生する
- 認証情報が漏えいし、他サービスへの不正ログインに使われる
- 漏えい情報が売買され、二次被害が長期化する
信頼を維持するには、被害を完全に否定できない段階でも、確認済みの事実、調査中の範囲、利用者に求める対応、今後の連絡方法を整理して伝える必要があります。
ブランドと法務・監督対応への影響
情報漏えいは、原因が高度な攻撃であっても、利用者からはサイト運営者の管理不備として受け止められることがあります。初動の説明が曖昧だったり、影響範囲の切り分けが遅れたりすると、批判や問い合わせが集中しやすくなります。
個人情報や決済情報を扱うWebサイトでは、技術的な復旧だけでなく、告知文、問い合わせ窓口、再発防止策、関係先への報告を含む対応計画が要ります。平時に手順を決めていない場合、障害対応、広報、法務、CS、開発、委託先の連携が遅れます。
Webスキミング対策の方法
Webサイトの脆弱性診断と修正
最初に行うべき対策は、侵入されにくい状態を作ることです。脆弱性診断と修正は、Webスキミング対策の土台になります。
- CMS、プラグイン、テーマ、ライブラリを更新し、不要なものを削除する
- 管理画面に多要素認証、IP制限、強固なパスワードポリシーを適用する
- 不要アカウントを廃止し、管理権限を最小限にする
- 公開ストレージ、開発用機能、過剰権限などの設定ミスを点検する
- フォームや決済周辺で、入力検証、出力エスケープ、権限制御を確認する
一度診断して終わりにすると、サイト改修やプラグイン更新のたびに新しいリスクが残ります。変更時の確認項目、修正期限、責任者を定め、発見した脆弱性を放置しない運用にします。
スクリプトの棚卸しと変更統制
Webスキミングは、スクリプト混入によって成立します。自社配信スクリプトと外部読み込みスクリプトを棚卸しし、用途、管理者、供給元、変更頻度、重要ページでの利用有無を管理します。
- 自社JSと外部JSを一覧化し、不要な外部読み込みを削除する
- タグマネージャの権限を最小限にし、公開前レビューと承認を必須にする
- 決済、会員登録、ログインなどの重要ページでは、読み込み元を限定する
- 外部スクリプトの追加時に、利用目的、送信先、責任者、停止方法を確認する
- 変更履歴を残し、誰がいつ何を公開したかを追跡できるようにする
PCI Security Standards Councilは、eコマース決済におけるスクリプト管理について、決済ページのスクリプトを承認し、完全性を確認し、改ざんを監視する考え方を示しています。決済ページを持つサイトでは、スクリプトの正当性と変更監視を決済セキュリティの要件として扱う必要があります。
改ざん検知とファイル整合性の監視
発見を早めるには、ページが表示されるかどうかではなく、想定外の変更が起きていないかを監視します。重要ページのHTML、JS、テンプレート、タグ設定を対象に、差分検知やハッシュ確認を行います。
- JS、CSS、テンプレートの基準ハッシュを管理し、差分を検知する
- 本番環境での直接編集を制限し、CI/CDなど承認済み経路から配布する
- 決済、会員登録、ログインなどの重要ページを重点監視する
- 想定外の外部送信先ドメインや不審なfetch、画像ビーコン、フォーム送信を確認する
- タグマネージャの公開履歴と権限変更履歴を監査する
監視は、アラートを出すだけでは不十分です。アラート発生時に、タグ無効化、ページ一時停止、配布停止、外部送信先の遮断、影響範囲の調査を誰が実施するかまで決めておきます。
WAFの導入と限界の理解
WAFは、Webアプリケーションの既知の攻撃パターンや脆弱性悪用を遮断する対策として有効です。特に、SQLインジェクション、クロスサイトスクリプティング、既知の攻撃シグネチャに対しては、脆弱性修正までのリスク低減に役立ちます。
ただし、WAFだけでWebスキミング全体を防ぐことはできません。正規の管理アカウントが乗っ取られてタグが追加された場合や、外部スクリプトの供給元が侵害された場合、通信は正規の経路に見えることがあります。WAFは多層防御の一部として位置づけ、スクリプト管理、CSP、改ざん検知、ログ監査と組み合わせます。
ブラウザ側での実行制御
混入したスクリプトを動作しにくくするには、ブラウザ側の実行制御が役立ちます。代表的な仕組みがCSP(Content Security Policy)です。CSPでは、スクリプト、画像、フォーム送信先などの読み込み元・送信先を制限できます。
- script-srcでスクリプトの読み込み元を制限する
- connect-srcでfetchやXHRなどの通信先を制限する
- form-actionでフォーム送信先を制限する
- Report-Onlyモードで影響を確認し、段階的にブロックモードへ移行する
- 外部スクリプトを使う場合は、Subresource Integrityなどの完全性確認も検討する
OWASPは、CSPをXSSなどに対する追加防御層として位置づけています。一方で、CSPだけに依存せず、安全な開発、脆弱性対策、スクリプト管理を併用する前提で設計します。
サプライチェーンリスクの管理
Webスキミングでは、サイト運営者自身のコードだけでなく、外部サービス、委託先、タグ配信基盤、広告配信、解析ツールなどもリスク要因になります。これはWeb運用におけるサプライチェーン攻撃の一形態として扱うべき問題です。
外部サービスを利用する場合は、契約時だけでなく利用中も、権限、変更通知、障害時の連絡経路、停止方法、データ送信先、セキュリティ対応状況を確認します。NISTのサイバーセキュリティ・サプライチェーンリスク管理の考え方でも、組織は取得・利用する技術やサービスの構成要素と供給経路を考慮してリスクを管理することが求められています。
従業員教育と運用体制
Webスキミングの侵入経路は、技術的な脆弱性だけではありません。管理アカウントの使い回し、退職者アカウントの放置、委託先権限の過大付与、タグの無承認公開など、運用上の不備からも発生します。
- 管理系アカウントを棚卸しし、不要アカウントを削除する
- 多要素認証を管理者、委託先、タグ管理者に適用する
- 外部委託先の作業範囲、権限、承認フローを明文化する
- インシデント時の連絡網、一次遮断、調査、告知、復旧判断の手順を整備する
- タグ追加や外部スクリプト追加の判断基準を関係者に共有する
ツール導入だけでは、サイト変更のたびに発生するリスクを管理できません。変更が発生したときに、誰が確認し、誰が承認し、どの証跡を残すかを決めることで、Webスキミングの混入余地を減らせます。
Webスキミング対策の確認項目
| 資産把握 | 決済、会員登録、ログイン、問い合わせなど、入力情報を扱うページを一覧化する。 |
| スクリプト管理 | 自社JSと外部JSを棚卸しし、用途、責任者、供給元、停止方法を管理する。 |
| 変更統制 | タグ追加、テンプレート変更、本番反映にレビューと承認を設け、変更履歴を残す。 |
| 実行制御 | CSP、SRI、送信先制限などを使い、想定外のスクリプト実行や外部送信を抑制する。 |
| 監視 | HTML、JS、タグ設定、外部送信先、変更履歴を監視し、想定外の差分を検知する。 |
| 初動対応 | 不正スクリプトの停止、送信先遮断、影響範囲調査、関係者連絡、告知判断の手順を定める。 |
関連する一次情報
- CISA / NICCS:E-SKIMMING
- PCI Security Standards Council:Payment Page Security and Preventing E-Skimming
- OWASP:Content Security Policy Cheat Sheet
- NIST:Cybersecurity Supply Chain Risk Management
まとめ
Webスキミングは、Webサイトに不正なスクリプトを混入させ、利用者が入力した個人情報、認証情報、決済情報を外部へ送信する攻撃です。サーバー侵害だけでなく、タグマネージャ、外部スクリプト、委託先権限、配布基盤など、Web運用の経路も狙われます。対策では、脆弱性診断、スクリプト棚卸し、変更統制、CSP、改ざん検知、監視、初動対応を組み合わせ、重要ページほど読み込み元と変更権限を絞ることが基本になります。
Webスキミングに関するよくある質問
Q.Webスキミングはどの情報を狙いますか?
A.フォームに入力される個人情報、認証情報、決済情報などが主な対象です。
Q.Webスキミングはサーバーが安全でも起きますか?
A.起きます。ブラウザ上で動くスクリプトの改ざんや外部スクリプトの侵害でも、入力情報が外部送信される場合があります。
Q.ECサイト以外もWebスキミングの対象になりますか?
A.対象になります。会員登録、予約、問い合わせ、ログインなど、入力フォームを持つページは狙われる可能性があります。
Q.WAFを導入すればWebスキミングは防げますか?
A.WAFは脆弱性悪用の遮断に役立ちますが、正規アカウントの悪用や外部スクリプト侵害までは単独で防げません。
Q.タグマネージャはなぜリスクになりますか?
A.タグマネージャの権限が乗っ取られると、正規の配信経路から不正スクリプトを公開される可能性があるためです。
Q.対策で最初に確認すべきことは何ですか?
A.入力情報を扱うページ、自社スクリプト、外部スクリプト、管理アカウント、タグ管理権限を棚卸しします。
Q.改ざん検知ではどこを優先して確認しますか?
A.決済、会員登録、ログイン、問い合わせなど、入力情報を扱うページのHTML、JS、タグ設定を優先します。
Q.CSPはWebスキミング対策に役立ちますか?
A.役立ちます。スクリプトの読み込み元、通信先、フォーム送信先を制限できるため、想定外の外部送信を抑制できます。
Q.被害が疑われたら最初に何をしますか?
A.不正スクリプトの停止、外部送信先の遮断、対象ページと対象期間の切り分けを行います。
Q.利用者側でできることはありますか?
A.不審な決済やログイン通知を確認した場合は、カード会社やサービス提供元へ早期に連絡します。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
