Webスキミングとは、ECサイトの決済ページなどを改ざんし、顧客が入力したクレジットカード情報を盗み出すサイバー攻撃です。
サイトの見た目は変わらないため、事業者も利用者も被害に気づきにくいという特徴があります。
本記事では、ECサイト事業者が知っておくべきWebスキミングの巧妙な手口、事業に与える深刻なリスク、そして自社サイトを守るための具体的なセキュリティ対策について詳しく解説します。

Webスキミングとは？気づかれずにカード情報を盗むサイバー攻撃を解説

Webスキミングとは、Webサイトに不正なコードを埋め込み、ユーザーが入力フォームに打ち込んだ情報を盗み取るサイバー攻撃の一種です。
特に、ECサイトの購入手続き画面や決済ページが標的とされ、クレジットカード番号やセキュリティコードなどが窃取されます。
従来の物理的なカード情報を盗むスキミングとは異なり、Webスキミングはオンライン上で完結し、サイトの外見上に変化がないため、被害が発覚しにくいという極めて悪質な特徴を持ちます。

物理的なカードのスキミングとの決定的な違い

物理的なスキミングとは、店舗のレジやATMに「スキマー」と呼ばれる読み取り装置を取り付け、クレジットカードの磁気ストライプ情報を不正にコピーする手口を指します。
カードそのものが物理的に存在し、装置を通過する必要があります。
一方、WebスキミングはWebサイトのプログラム自体を改ざんするため、ユーザーは正規のサイトで買い物しているつもりでも、入力した情報が攻撃者のサーバーにも同時に送信されてしまいます。

標的が物理的な「カードリーダー」からオンライン上の「Webサイト」に移った点が決定的な違いです。

ECサイトが狙われるWebスキミングの巧妙な仕組み

Webスキミングの攻撃者は、ECサイトの決済ページなどに表示されるJavaScriptを改ざんする手口を多用します。
この仕組みの巧妙な点は、ユーザーから見れば正規の決済処理が正常に完了しているように見えることです。
しかし、その裏では、入力されたクレジットカード情報が攻撃者の用意した外部サーバーへも送信されています。

この攻撃のやり方は、サイトの脆弱性を直接狙う方法と、サイトが連携している外部サービスを悪用する方法の2つに大別されます。

Webサイトの脆弱性を突いて不正なコードを埋め込む手口

攻撃の一般的な手口として、ECサイトを構築・運用しているCMSや、拡張機能であるプラグインの脆弱性を悪用するやり方が挙げられます。
攻撃者はこれらの脆弱性を突き、ECサイトの管理者権限を乗っ取ります。
そして、サーバーに不正にアクセスし、決済情報入力ページのソースコードに、情報を外部へ送信するための不正なスクリプトを一行追加するなどの改ざんを行います。

この手口により、ユーザーが入力した情報は攻撃者の元へ筒抜けになります。

連携する外部サービス（サードパーティスクリプト）経由で侵入する手口

もう一つの巧妙な手口は、ECサイトが利用している外部のサービス（サードパーティスクリプト）を狙うやり方です。
多くのECサイトでは、アクセス解析ツール、Webチャット、広告配信サービスなどを外部から読み込んで利用しています。
攻撃者はこれらのサービス提供元を攻撃してスクリプトを改ざんします。

その結果、改ざんされたスクリプトを読み込んでいる全てのECサイトが、意図せずして不正なコードを実行してしまい、情報漏洩の原因となります。
自社サイトが直接攻撃されなくても被害に遭う、サプライチェーン攻撃の一種です。

Webスキミングが引き起こす4つの深刻な経営リスク

Webスキミングによる被害は、単に顧客情報が漏洩するという問題だけにとどまりません。
企業の信用を根底から揺るがし、経営に深刻なダメージを与える複数のリスクを内包しています。
金銭的な損失はもちろん、事業継続そのものが困難になる可能性もあり、EC事業者にとって極めて重大な脅威です。

ここでは、Webスキミングが引き起こす4つの具体的な経営リスクについて解説します。

リスク1：顧客のクレジットカード情報漏洩

Webスキミングの最も直接的な被害は、顧客のクレジットカード情報が漏洩することです。
氏名、カード番号、有効期限、セキュリティコードといった機密性の高い情報が流出し、第三者による不正利用につながります。

顧客が金銭的な被害を受けるだけでなく、自社が情報漏洩の原因となったことで、後述する損害賠償や信用の失墜といった、より大きな問題へと発展する発端となります。

リスク2：損害賠償や売上低下による金銭的損失

情報漏洩が発生すると、企業は多額の金銭的損失を被る可能性があります。
具体的には、被害を受けた顧客への損害賠償、原因究明のためのフォレンジック調査費用、コールセンター設置などの対応費用が発生します。
さらに、クレジットカード会社から課されるペナルティや、不正利用された金額の保証（チャージバック）も負担となる場合があります。

これらの直接的な費用に加え、後述するサイト停止や信用の失墜による売上低下も深刻な打撃となります。

リスク3：ECサイト停止に追い込まれる機会損失

Webスキミングの被害が発覚した場合、原因の特定とセキュリティ対策が完了するまでの間、ECサイトの運営を停止せざるを得ない状況に追い込まれることが少なくありません。
サイト停止期間中は売上が完全にゼロとなり、甚大な機会損失が発生します。

特に、セール期間や年末商戦などの繁忙期に被害が重なると、その損失は計り知れません。
事業の根幹である販売チャネルを一時的にでも失うことは、経営に直接的な影響を与えます。

リスク4：ブランドイメージの低下と顧客離れによる信用の失墜

情報漏洩事件は、企業のブランドイメージを著しく損ないます。
「セキュリティが甘い会社」というネガティブな評判が広まることで、顧客は安心して買い物ができなくなり、深刻な顧客離れを引き起こします。
一度失った信頼を回復するには、長い時間と多大なコストが必要です。

長期的な売上の低迷や、新規顧客獲得の困難化など、目に見えない損失が経営を圧迫し続けることになります。

国内で相次ぐWebスキミングの被害事例

近年、国内でもWebスキミングによる被害事例が後を絶ちません。
大手アパレルブランドの公式オンラインストア、有名菓子メーカーのECサイト、さらには地方自治体が運営するふるさと納税サイトなど、企業の規模や業種を問わず、幅広い組織が攻撃の標的となっています。

これらの事例の多くは、クレジットカード会社からの「不正利用が多発している」という指摘によって発覚しており、事業者側が自力で改ざんを検知することがいかに困難であるかを示しています。
長期間にわたって情報が盗まれ続け、数万人規模のカード情報が漏洩したケースも報告されています。

自社ECサイトを守るために事業者が実施すべき5つのセキュリティ対策

Webスキミングの巧妙な攻撃から自社のECサイトと顧客情報を守るためには、多角的なセキュリティ対策が不可欠です。
攻撃者は常に新たな脆弱性を狙っているため、単一の対策に依存するのではなく、複数の防御策を組み合わせる「多層防御」の考え方が重要になります。
ここでは、ECサイト事業者が優先的に実施すべき5つの具体的な対策について解説します。

対策1：CMSやプラグインを常に最新バージョンに保つ

Webスキミング攻撃の多くは、ECサイトを構築しているCMS（例：WordPress,EC-CUBE）やプラグインの既知の脆弱性を悪用します。
開発元は脆弱性が発見されると、それを修正するためのセキュリティパッチを含んだ更新プログラムを配布します。
この更新を怠り、古いバージョンを使い続けることは、攻撃者に侵入の扉を開けているのと同じです。

ソフトウェアを常に最新の状態に保つことは、最も基本的かつ重要なセキュリティ対策の一つです。

対策2：管理者アカウントへの多要素認証（MFA）を必須にする

Webサイトの改ざんを防ぐためには、管理者アカウントのセキュリティ強化が欠かせません。
IDとパスワードだけの認証では、パスワードリスト攻撃などによって突破されるリスクがあります。
そこで有効な対策が、パスワードに加えて、スマートフォンアプリやSMSで生成される確認コード、あるいはセキュリティキーなどを組み合わせる多要素認証（MFA）です。

万が一パスワードが漏洩しても、管理者ページへの不正ログインを防ぐことができます。

関連記事：多要素認証とは何か？ 多要素認証を導入・運用する際の注意点や必要となる技術について

対策3：決済ページの改ざんを検知するログ監視体制を構築する

Webスキミングはサイトの見た目を変えずに情報を盗むため、攻撃を受けていることに気づくのが難しいという特徴があります。
この対策として、決済ページを構成するファイルの変更や、不審な通信ログを常時監視する体制の構築が有効です。
ファイル改ざん検知システムを導入したり、外部への不審なデータ送信がないかを監視したりすることで、攻撃の兆候を早期に発見し、被害の拡大を防ぐことが可能になります。

関連記事：ログ管理とは？目的・メリットから効果的な管理方法、ツールの選び方まで

対策4：WAF（Web Application Firewall）を導入し不正通信を遮断する

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を狙った攻撃通信を検知し、遮断するためのセキュリティ対策ツールです。
CMSやプラグインの脆弱性を突こうとする攻撃（SQLインジェクションやクロスサイトスクリプティングなど）からWebサイトを保護します。
WAFを導入することで、万が一ソフトウェアに未修正の脆弱性が存在していても、攻撃が成功するリスクを大幅に低減させることが可能です。

対策5：定期的なセキュリティ脆弱性診断で潜在リスクを発見する

自社で対策を講じているつもりでも、気づかないうちにセキュリティ上の穴（脆弱性）が生まれている可能性があります。
そこで、セキュリティの専門家による脆弱性診断を定期的に実施し、客観的な視点でサイトの安全性を評価することが重要です。
専門家が攻撃者と同じ視点でシステムを調査することで、潜在的なリスクを洗い出し、攻撃を受ける前に対策を講じることが可能になります。

万が一Webスキミングの被害に遭ってしまった場合の対応フロー

どれだけ万全な対策を講じていても、サイバー攻撃の被害に遭う可能性をゼロにすることはできません。
そのため、万が一Webスキミングの被害が疑われる場合に、迅速かつ適切に対応するための手順（インシデントレスポンスフロー）をあらかじめ準備しておくことが極めて重要です。
慌てず冷静に行動することが、被害の拡大を防ぎ、顧客や社会からの信頼を維持するための鍵となります。

ステップ1：被害状況の把握と拡大防止措置

被害が疑われる場合、最初に行うべきは被害の拡大を防ぐための初動対応です。
まず、これ以上の情報漏洩を防ぐため、ECサイトをネットワークから切り離し、サービスを一時停止します。
次に、サーバーのログなどの証拠データを保全し、どの範囲まで影響が及んでいるのか、可能な限り状況を把握します。

この段階で自己判断でサーバーを再起動したり、ファイルを削除したりすると、後の調査に支障をきたすため、慎重な行動が求められます。

ステップ2：専門家によるフォレンジック調査の依頼

被害の全容を正確に解明するためには、高度な専門知識を持つ第三者機関によるフォレンジック調査が不可欠です。
フォレンジック調査では、サーバーのログやファイルの解析を通じて、攻撃者の侵入経路、被害を受けた期間、漏洩した情報の種類と件数などを特定します。
この調査結果が、後の関係各所への報告や顧客への説明、再発防止策の策定における客観的な根拠となります。

ステップ3：関係各所への報告と顧客への公表

フォレンジック調査によって被害の事実や影響範囲を確認した後は、法令やガイドラインに基づき、関係各所へ速やかに報告を行います。
具体的には、個人情報漏洩が発生した場合には個人情報保護委員会への報告、犯罪性が認められる場合には警察への相談・通報、クレジットカード情報が関係する場合には契約しているカード会社や決済代行会社への連絡などが必要となります。

また、被害を受けた顧客に対しても、漏洩した可能性のある情報の種類、発生経緯、現在の対応状況、問い合わせ窓口などを誠実かつ迅速に案内することが重要です。必要に応じて、自社Webサイトでの公表や注意喚起を実施し、被害拡大の防止と信頼回復に努めます。

透明性のある情報開示が、信頼回復に向けた第一歩です。

Webスキミングに関するよくある質問

ここでは、Webスキミングに関してECサイト事業者から寄せられることが多い質問とその回答をまとめました。

被害に遭ったかもしれない場合、最初に何をすればよいですか？

直ちにECサイトを停止し、被害拡大を防いでください。
その後、自己判断で調査を進めず、速やかにセキュリティ専門の調査機関（フォレンジック事業者）へ相談することが重要です。

専門家が証拠を保全しつつ、被害の全容解明に向けた調査を開始します。

無料のECカートシステムを利用している場合でも対策は必要ですか？

はい、必要です。
ASP（クラウド型）のECカートシステムを利用している場合でも、デザインテンプレートのカスタマイズ部分や、独自に導入した外部連携ツールのスクリプトなどが攻撃の起点となる可能性があります。
システムの提供範囲と自己責任の範囲を理解し、適切な対策を講じる必要があります。

Webスキミングの攻撃は今後も増え続けるのでしょうか？

EC市場の拡大に伴い、金銭を直接狙えるWebスキミング攻撃は今後も増加・巧妙化する可能性が高いと考えられます。
攻撃者は常に新しい脆弱性を狙っており、防御側も継続的な情報収集と対策のアップデートが不可欠です。
他人事と考えず、常に警戒を怠らない姿勢が求められます。

まとめ

Webスキミングは、ECサイトの見た目に変化を与えないまま、利用者のクレジットカード情報や個人情報を窃取するサイバー攻撃です。攻撃者は、ECサイトの脆弱性を悪用するだけでなく、外部サービスやサプライチェーンを経由して不正なスクリプトを埋め込むなど、手口を巧妙化・多様化させています。

被害に遭った場合、顧客情報の流出による金銭的損失だけでなく、企業の信頼失墜や事業機会の損失など、経営に深刻な影響を及ぼす可能性があります。そのため、EC事業者には、CMSやプラグインの最新化、多要素認証の導入、WAFの活用など、多層的なセキュリティ対策を継続的に実施することが求められます。

加えて、万が一マルウェア感染や不正アクセスが発生した場合に備え、端末の利用状況や操作履歴を把握できる環境を整備しておくことも重要です。弊社が提供する「AssetView Cloud ＋」では、PC操作ログの取得やデバイス制御、ファイル操作管理などを通じて、端末のセキュリティ状況を可視化し、情報漏洩リスク低減を支援します。

また、不審な挙動や異常な操作を把握しやすくなるため、インシデント発生時の迅速な調査・対応にも役立ちます。外部攻撃対策に加え、端末管理やログ管理を組み合わせることで、Webスキミングをはじめとしたサイバー攻撃への総合的なセキュリティ強化につなげることが可能です。

投稿者ハンモック編集部

現場での経験やリサーチをもとに、読者にとって役立つ情報をわかりやすくお届けしています。実務で得た知見をもとに、新たな気づきにつながる情報発信を心がけています。