PSI CyberSecurity Insight

トップ> Insight Post一覧> PSI CyberSecurity Insight第33号:ECサイトの決済情報を盗む「Webスキミング」攻撃、正規サイトでも安心できない新たな脅威

2026年1月9日

株式会社ピーエスアイ

ECサイトの決済情報を盗む「Webスキミング」攻撃、正規サイトでも安心できない新たな脅威

背景

オンラインショッピングの普及に伴い、ECサイトの決済ページでクレジットカード情報を窃取する「Webスキミング(デジタルスキミング)」攻撃が深刻化しています。この攻撃は「Magecart(メイジカート)」とも呼ばれ、正規のECサイトに悪意あるJavaScriptコードを仕込むことで、利用者が入力したクレジットカード番号、有効期限、セキュリティコード、個人情報などをリアルタイムで攻撃者のサーバーへ送信します。利用者側では正規サイトで買い物をしているため、不正に気づくことはほとんどありません。攻撃対象は大手ECサイトから中小企業のオンラインショップまで幅広く、サードパーティ製の決済プラグインやタグマネージャーの脆弱性を突いた攻撃も確認されており、「正規サイトだから安全」という前提が崩れつつあります。

実態

Webスキミング攻撃の侵入経路は主に3つあります。第一に、ECサイト自体の脆弱性(SQLインジェクション、管理画面への不正ログインなど)を突いて、決済ページのHTMLやJavaScriptファイルに悪意あるコードを直接埋め込む手法です。第二に、ECサイトが利用するサードパーティサービス(広告配信、アクセス解析、チャットボットなど)のアカウントを乗っ取り、そこから配信されるJavaScriptに不正コードを混入させる「サプライチェーン型攻撃」です。この場合、複数のECサイトが同時に被害を受ける可能性があります。第三に、WordPressやMagentoなどのCMSプラグインの脆弱性を悪用して侵入する手法です。埋め込まれた不正コードは、ユーザーがクレジットカード情報を入力する瞬間にキー入力を監視(キーロギング)したり、フォーム送信時のデータを傍受したりして、入力内容を攻撃者の管理サーバーへ送信します。コードは難読化されており、サイト運営者による目視確認では発見が困難です。また、特定の条件下(特定のIPアドレスからのアクセス時のみ動作しない、など)でのみ動作する「ステルス型」のスキミングコードも存在し、検証環境では正常に見えても本番環境では不正動作するケースもあります。

影響と対策

Webスキミング攻撃による被害は、顧客のクレジットカード情報漏えいに伴う金銭的損失、PCI DSS(Payment Card Industry Data Security Standard)違反による罰則、顧客からの信頼喪失、ブランドイメージの毀損など、企業経営に深刻な影響を及ぼします。特に、情報漏えいが発覚した場合の対応コスト(調査費用、顧客への補償、クレジットカード会社への賠償など)は数億円規模に達することもあります。対策としては、まずWebサイトのセキュリティ診断を定期的に実施し、脆弱性を早期に発見・修正することが基本です。CMSやプラグインは常に最新バージョンに保ち、不要なプラグインは削除します。また、CSP(Content Security Policy)を適切に設定することで、許可されていない外部サーバーへのデータ送信をブラウザレベルでブロックできます。SRI(Subresource Integrity)を活用し、外部から読み込むJavaScriptファイルの改ざん検知も有効です。FortiWebやCheck Point CloudGuard AppSecなどのWAF(Web Application Firewall)を導入することで、Webサイトへの不正アクセスや改ざん試行を検知・遮断できます。さらに、決済情報を自社サーバーで直接扱わない「トークン決済」や「リダイレクト型決済」の採用により、スキミングリスクを根本的に低減することも検討すべきです。

まとめ

Webスキミング攻撃は、利用者にとって見えない脅威であり、ECサイト運営者の責任が極めて重い攻撃です。正規サイトが攻撃の舞台となるため、利用者側での防御は困難であり、サイト運営者による徹底したセキュリティ対策が不可欠です。定期的な脆弱性診断、WAF導入、サードパーティスクリプトの厳格な管理が重要です。PSIでは、ネットワーク製品とWebアプリケーションセキュリティソリューションを組み合わせ、ECサイトを含むWebサービスの安全性確保をご支援いたします。

参照記事リンク:

IPA ウェブサイトのセキュリティ,  PCI Security Standards Council,  Sansec - What is Magecart

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp

INSIGHT一覧に戻る