フォームジャッキング 【formjacking】 Webスキミング / web skimming / ウェブスキミング

攻撃者はECサイトのシステムに不正に侵入し、製品の購入時に情報を入力するフォームが掲載されたページに悪意のあるスクリプトを仕込む。購入者がカード番号などを入力して購入手続きを行うと、氏名やカード番号などの情報が攻撃者に送信され、不正な決済に利用されてしまう。

攻撃者は秘密裏に情報を抜き取るだけで購入の流れを邪魔したり利用者のコンピュータを攻撃するような挙動は行わず、取引自体は正しく完了する。このため、EC事業者が不正に気付いて顧客に周知するか、実際に番号が不正利用されるまで攻撃に気が付きにくいとされる。

本物のECサイトを悪用する攻撃であるため、偽サイトや偽決済ページを利用する手法などに比べ利用者側が自力で気付いて攻撃を防ぐことは難しい。事業者側で適切にシステムを管理して侵入・改竄を防止し、あるいは改竄をすぐに検知できる運用体制作りが求められる。

関連用語

EC

【Electronic Commerce】

オンラインショップ

【online shop】

アカウント

【account】

クライアント

【client】

クリック

【click】

サーバ

【server】

アプリケーションソフト

【application software】

ファイル

【file】

アクセス

【access】

サイバー攻撃

【cyberattack】

マルウェア

【malware】

脆弱性

【vulnerability】

ネットワーク

【network】

ランサムウェア

【ransomware】

システム

【system】

ツール

【tool】

データ

【data】

セキュリティ

【security】

リスト

【list】

サイト

【site】