Web スキマー / e スキミング
Web スキマー / e スキミング とは何ですか?
Web スキマー / e スキミングWeb サイトに注入された不正コードで、顧客がページ上に入力するクレジットカード情報や個人情報を窃取する。
Web スキマー(e スキマー、デジタルスキマー)は、Magecart 型攻撃で実際に窃取を行う JavaScript やサーバー側コードです。EC サイトの決済フローに常駐し、カード番号・CVV・有効期限・個人情報を DOM やネットワークリクエストから読み取り、ドロップサーバーへ送信します。CMS の脆弱性悪用、サードパーティスクリプトの侵害、放置された S3 バケットの乗っ取り、管理者資格情報の盗用などで導入されます。一部は偽の favicon やステガノグラフィ画像内に隠されます。対策には CSP とレポーティング、Subresource Integrity、PCI DSS v4.0 が義務付けるクライアントサイドのスクリプト整合性監視、スクリプトタグおよびタグマネージャの厳格な権限管理が含まれます。
● 例
- 01
Magento テンプレートに追加された難読化スクリプトが CVV を収集し、typosquatted CDN ドメインへ送信。
- 02
偽の favicon 画像内に隠したスキマーが Shopify ストアの決済ページでのみ動作。
● よくある質問
Web スキマー / e スキミング とは何ですか?
Web サイトに注入された不正コードで、顧客がページ上に入力するクレジットカード情報や個人情報を窃取する。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Web スキマー / e スキミング とはどういう意味ですか?
Web サイトに注入された不正コードで、顧客がページ上に入力するクレジットカード情報や個人情報を窃取する。
Web スキマー / e スキミング はどのように機能しますか?
Web スキマー(e スキマー、デジタルスキマー)は、Magecart 型攻撃で実際に窃取を行う JavaScript やサーバー側コードです。EC サイトの決済フローに常駐し、カード番号・CVV・有効期限・個人情報を DOM やネットワークリクエストから読み取り、ドロップサーバーへ送信します。CMS の脆弱性悪用、サードパーティスクリプトの侵害、放置された S3 バケットの乗っ取り、管理者資格情報の盗用などで導入されます。一部は偽の favicon やステガノグラフィ画像内に隠されます。対策には CSP とレポーティング、Subresource Integrity、PCI DSS v4.0 が義務付けるクライアントサイドのスクリプト整合性監視、スクリプトタグおよびタグマネージャの厳格な権限管理が含まれます。
Web スキマー / e スキミング からどのように防御しますか?
Web スキマー / e スキミング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Web スキマー / e スキミング の別名は何ですか?
一般的な別名: e スキマー, デジタルスキマー, JS スニッファー。
● 関連用語
- attacks№ 642
Magecart 攻撃
EC サイトの決済ページに悪意ある JavaScript を注入し、顧客がカード情報を入力する瞬間に窃取するデジタルスキミング攻撃の総称。
- attacks№ 431
フォームジャッキング
悪意ある JavaScript が被害者のブラウザでフォーム送信を傍受し、入力データを攻撃者サーバーへ送信する攻撃。
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- attacks№ 240
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
- identity-access№ 230
クレデンシャル収集
ユーザー名・パスワード・トークンなど認証情報を大量に集める行為で、通常はその後のアカウント乗っ取りや売買に使われる。
- compliance№ 807
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。