ECサイトのフォームジャッキングについて

ECサイトの制作に携わっておりますが、昨年より急増している不正の手口としてフォームジャッキングという言葉を耳にすることが増えました。

どのような手口なのかというのを、(非常に拙いですが・・・)図にしてみました。

上図のように、攻撃者がWEBページに悪質なコードをインジェクトすることで、ユーザがショッピングを行う際に入力した各種情報(個人情報、クレジットカード情報)を不正に入手しようとする手口です。WEB版のスキミングと言われたりもします。

必要な対策として挙げられるものは

【サーバサイド】

  • サイトの改ざんが行われていない事の確認
  • ショッピングサイトの管理画面URLが推測されやすいものになっていないかを確認
  • 管理画面のアクセス制限が適切に行われているかを確認
  • サーバやCMSのセキュリティ対策が行われているかを確認

 

【クライアントサイド】

  • セキュリティソフトの導入
  • OSの修正パッチなど最新版へのアップデート

といったものが挙げられます。

制作・開発担当として、常にそのような情報に対してもアンテナを伸ばして対策方法を調べたり、入り込まれないようなプログラミングでの対策などの適切な対応を施していくことが必要であると感じており、それを心がけて業務に携わっていきたいです。