カードスキミング
カードスキミング とは何ですか?
カードスキミング決済端末や Web の決済画面で、隠された物理デバイスや悪意あるスクリプトを用いて支払いカード情報を窃取する攻撃。
カードスキミングには大きく 2 つの形態があります。物理スキミングでは、ATM・ガソリンスタンドのポンプ・POS 端末に薄い被せ型リーダーや「シマー」を仕込み、磁気ストライプや IC チップの情報を複製します。多くの場合、ピンホールカメラや偽のキーパッドで暗証番号も取得します。e-スキミング(Magecart)では、脆弱な EC サイトの決済ページに悪意ある JavaScript を注入し、カード番号・CVV・住所などを攻撃者サーバーへ送信します。防御策としては、EMV チップとトークン化ウォレット、ハードウェアの定期点検、対スキミングセンサー、WAF、Subresource Integrity、CSP、サードパーティスクリプトの監視、PCI DSS に沿った決済フローのコードレビューなどが有効です。
● 例
- 01
ガソリンスタンドの給油機に取り付けた被せ型装置で磁気情報を読み取り、ピンホールカメラで暗証番号を撮影する。
- 02
Magento ストアに Magecart 風スクリプトを注入し、決済フォームの値を外部へ送信させる。
● よくある質問
カードスキミング とは何ですか?
決済端末や Web の決済画面で、隠された物理デバイスや悪意あるスクリプトを用いて支払いカード情報を窃取する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
カードスキミング とはどういう意味ですか?
決済端末や Web の決済画面で、隠された物理デバイスや悪意あるスクリプトを用いて支払いカード情報を窃取する攻撃。
カードスキミング からどのように防御しますか?
カードスキミング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
カードスキミング の別名は何ですか?
一般的な別名: スキミング, Magecart, e-スキミング。