サイバー警察局は、ウェブスキミングによる顧客のクレジットカード情報流出への警戒を強めている。
確認されているウェブスキミング攻撃者の手口として、ECサイトなどのウェブサイトを標的にし、脆弱性を利用して不正アクセスとウェブページの一部を改ざんするという。
その後改ざんしたウェブページに、不正なJavaScriptコードやマルウェアを挿入し、ユーザーがサイトに入力するクレジットカード情報や個人情報を窃取する。
不正プログラムがデータを収集して攻撃者のサーバーに送信することで情報流出が発生。
窃取されたデータは、攻撃者によって不正利用またはダークウェブなどで売買されるとされている。
サイバー警察局は、ウェブスキミングの被害は依然として増加傾向にあり、ECサイト運営者は迅速に対策を講じるよう求めている。
具体的な対策方法として、「管理者のID・パスワードを適切に管理し、ワンタイムパスワードや生体認証といった二要素認証を活用すること」、「OSやソフトウェアの脆弱性情報を確認し、定期的な診断と最新パッチの適用を行うこと。また、ウイルス対策ソフトの導入も推奨」、「Web Application Firewall(WAF)などのセキュリティ製品を導入し、ウェブサイトの防御力を強化」の3つを呼び掛けている。
【参考記事】
https://www.npa.go.jp/bureau/cyber/index.html
