カードスキミング
カードスキミング とは何ですか?
カードスキミング決済端末や Web の決済画面で、隠された物理デバイスや悪意あるスクリプトを用いて支払いカード情報を窃取する攻撃。
カードスキミングには大きく 2 つの形態があります。物理スキミングでは、ATM・ガソリンスタンドのポンプ・POS 端末に薄い被せ型リーダーや「シマー」を仕込み、磁気ストライプや IC チップの情報を複製します。多くの場合、ピンホールカメラや偽のキーパッドで暗証番号も取得します。e-スキミング(Magecart)では、脆弱な EC サイトの決済ページに悪意ある JavaScript を注入し、カード番号・CVV・住所などを攻撃者サーバーへ送信します。防御策としては、EMV チップとトークン化ウォレット、ハードウェアの定期点検、対スキミングセンサー、WAF、Subresource Integrity、CSP、サードパーティスクリプトの監視、PCI DSS に沿った決済フローのコードレビューなどが有効です。
● 例
- 01
ガソリンスタンドの給油機に取り付けた被せ型装置で磁気情報を読み取り、ピンホールカメラで暗証番号を撮影する。
- 02
Magento ストアに Magecart 風スクリプトを注入し、決済フォームの値を外部へ送信させる。
● よくある質問
カードスキミング とは何ですか?
決済端末や Web の決済画面で、隠された物理デバイスや悪意あるスクリプトを用いて支払いカード情報を窃取する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
カードスキミング とはどういう意味ですか?
決済端末や Web の決済画面で、隠された物理デバイスや悪意あるスクリプトを用いて支払いカード情報を窃取する攻撃。
カードスキミング はどのように機能しますか?
カードスキミングには大きく 2 つの形態があります。物理スキミングでは、ATM・ガソリンスタンドのポンプ・POS 端末に薄い被せ型リーダーや「シマー」を仕込み、磁気ストライプや IC チップの情報を複製します。多くの場合、ピンホールカメラや偽のキーパッドで暗証番号も取得します。e-スキミング(Magecart)では、脆弱な EC サイトの決済ページに悪意ある JavaScript を注入し、カード番号・CVV・住所などを攻撃者サーバーへ送信します。防御策としては、EMV チップとトークン化ウォレット、ハードウェアの定期点検、対スキミングセンサー、WAF、Subresource Integrity、CSP、サードパーティスクリプトの監視、PCI DSS に沿った決済フローのコードレビューなどが有効です。
カードスキミング からどのように防御しますか?
カードスキミング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
カードスキミング の別名は何ですか?
一般的な別名: スキミング, Magecart, e-スキミング。
● 関連用語
- attacks№ 240
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- compliance№ 807
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
- attacks№ 275
データ侵害
認可されていない者が機微情報、保護対象情報、または機密情報にアクセス・持ち出し・開示したことが確認されたセキュリティインシデント。
- appsec№ 1114
サブリソース完全性 (SRI)
サードパーティから読み込んだスクリプトやスタイルシートを実行する前に、ブラウザが暗号学的ハッシュを検証し、改ざんされたファイルの実行を防ぐ仕組み。
- appsec№ 214
コンテンツセキュリティポリシー (CSP)
スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。