Webスキミングの最新インシデントとチャージバック対策の重要性

最新インシデント
Webスキミングの最新インシデントとチャージバック対策の重要性

2024年10月3日、大手カフェチェーン「タリーズコーヒー」は、ECサイト「タリーズ オンラインストア」で大規模なクレジットカード情報の漏洩があったと発表しました。
原因は「Webスキミング」という、よく使われる手口によるものです。
Webスキミングは、ユーザーが正規のウェブサイトを利用している際に情報を盗み取るため、被害に気づきにくいという厄介な特徴があります。
本記事では、タリーズの事例を取り上げ、Webスキミングの脅威や事業者が直面するチャージバック被害のリスク、その対策の重要性について解説していきます。

1.タリーズ オンラインストアからクレジットカード情報が漏洩

インシデントの概要

2024年10月3日、タリーズコーヒージャパン株式会社は、自社が運営する「タリーズ オンラインストア」において、第三者による不正アクセスが発生し、個人情報およびクレジットカード情報が漏洩した可能性があることを公表しました。

5月20日に警視庁から同オンラインストアでのクレジットカード情報漏洩の懸念について連絡を受けたことが発端です。
タリーズは同日中にオンラインストアでのクレジットカード決済を停止し、5月23日にはオンラインストア自体を一時閉鎖しました。

その後、第三者調査機関による詳細な調査を実施した結果、オンラインストアのシステムの脆弱性を突いて不正アクセスが行われたことが判明しました。
原因として、ペイメントアプリケーションの改ざんが行われたことが確認されています。

オンラインストアの再開は、セキュリティ強化策を講じた上で改めて告知される予定ですが、2024年10月15日時点で未だ閉鎖されている状態です。

被害の範囲

今回の不正アクセスにより、タリーズオンラインストアの会員92,685名の個人情報が漏洩した可能性があります。
漏洩した可能性のある個人情報の内容は以下のとおりです。
いずれもユーザーのプライバシーに深く関わるものであり、不正利用やフィッシング詐欺などの二次被害を引き起こす可能性があります。

・氏名
・住所
・電話番号
・性別
・生年月日
・メールアドレス
・ログインID
・ログインパスワード
・配送先情報

さらに、2021年7月20日から2024年5月20日までの期間にタリーズオンラインストアでクレジットカード決済を行った52,958名のクレジットカード情報も漏洩した可能性があります。
漏洩した可能性のあるクレジットカード情報は以下のとおりです。

・クレジットカード番号
・カード名義人名
・有効期限
・セキュリティコード

特に、通常はECサイト側で保存されないはずの「セキュリティコード」までもが漏洩している点は深刻です。
セキュリティコードはオンライン決済における最後の砦であり、カードの不正利用を防止するための重要な情報です。
この情報が漏洿したことで、第三者による不正なカード利用のリスクが極めて高まっています。

2.Webスキミングとは

Webスキミングの仕組み

ペイメントアプリケーションの改ざん

Webスキミングでは、まず、攻撃者はウェブサイトの脆弱性を見つけ出します。

古いソフトウェアの使用、セキュリティパッチの未適用、弱いパスワード設定などが原因となります。
脆弱性を特定した攻撃者は、ウェブサーバーやウェブアプリケーションに不正に侵入する流れです。

次に、侵入した攻撃者はユーザーがクレジットカード情報や個人情報を入力する決済ページに、スキマーと呼ばれる悪意のあるJavaScriptコードを埋め込みます。
このスキマーは、ユーザーの入力情報を収集するように設計されています。

ユーザー情報の不正取得方法

ユーザーがオンラインショップの決済ページで商品を購入する際、クレジットカード情報や個人情報を入力します。
この際に、攻撃者が埋め込んだスキマーが、ユーザーの入力データをリアルタイムで傍受する仕組みです。

通常、ウェブサイトとサーバー間の通信は暗号化されており、第三者が途中でデータを盗み見ても内容を理解できないようになっています。
しかし、スキマーはユーザーのブラウザ内で動作しており、ユーザーが情報を入力するまさにその瞬間にデータを取得します。
暗号化が行われる前のデータ、すなわち平文をそのまま攻撃者に送信することができるのです。
クレジットカードのセキュリティコードまで漏洩したのは、このような仕組みによるものです。

Webスキミングの厄介な点

被害の拡大スピード

Webスキミングの深刻な問題の一つは、被害が急速に拡大することです。
一度サイトが攻撃者によって改ざんされると、そのサイトを訪れるすべてのユーザーが被害に遭うリスクがあります。

例えば、タリーズオンラインストアの事例では、約3年間にわたり不正アクセスが続いていた可能性があり、その間に約5万3千人のクレジットカード情報が漏洩した恐れがあるとされています。
攻撃が長期間放置されると、被害者の数が急増し、被害の範囲も広がってしまいます。

タリーズのように、人気のあるオンラインストアほどアクセス数が多いため、被害の範囲が広くなりがちです。

被害に気づきにくい

もう一つの厄介な点は、被害に気づきにくいことです。
Webスキミングでは、サイトの見た目や機能に変化がないため、ユーザーも事業者も異常を察知しにくい状況が生まれます。
タリーズのケースでも、ユーザーは正規のオンラインストアで通常通りに買い物をしており、情報が盗まれていることに全く気づきませんでした。

企業側もシステムの脆弱性や改ざんに気づくことができず、警視庁からの連絡によって初めて不正アクセスの可能性を認識しました。
被害が長期間にわたって拡大し続ける背景には、被害の発見が遅れるという問題もあります。

3.Infront Securityによる不正利用防止とチャージバック対策

カードの不正利用により事業者側にも損害が発生

Webスキミングによるクレジットカード情報の漏洩は、ユーザーのみならず関連する事業者にも多大な影響を及ぼします。
漏洩したクレジットカード情報が他のオンラインショップやサービスで不正利用された場合、これらの事業者はチャージバック(不正取引に対する支払いの取り消し)を受けるリスクが高まります。

チャージバックが発生すると、事業者は不正取引によって得た売上金を返還しなければならないだけでなく、既に発送した商品や提供したサービスのコストも損失となります。
売上金の返還と商品の原価・サービス提供にかかった費用という二重の経済的損失を被ることになるのです。
チャージバックが頻発すると、カード会社からのペナルティや手数料の引き上げ、不正利用の調査などの業務負担が発生することも考慮しておく必要があるでしょう。

また、タリーズオンラインストアの事例では、長期間にわたる不正アクセスと多数の情報漏洩により、顧客の信頼性が著しく損なわれる可能性があります。
信頼の喪失は、長期的な売上減少や市場シェアの低下を招き、事業の持続可能性に深刻な影響を及ぼす恐れがあります。

なりすましによるログインを困難とする

Infront Securityは登録済みの端末のみログインが可能な認証システムです。
会員登録時、本人名義の携帯電話から認証のための電話番号へ架電してもらい電話番号認証後に利用者端末の端末情報を認証基盤へ登録します。
電話契約には公的な本人書類が必要であり、発信記録も残ることから、本人担保性が非常に高い認証方式であることが特徴です。

タリーズの事例では、クレジットカード情報のほか、ログインIDやパスワード、住所や電話番号といった情報まで流出しました。
Infront Securityによる認証システムを導入しているサイトであれば、万が一盗まれた情報で攻撃者がログインや決済を試みても、本人名義の電話デバイスが手元にない限り先へ進むことができません

また、全ての決済時ではなく、ユーザーが一定金額以上の取引を行う場合に限定して、追加の認証ステップとして電話認証を求めるといった形で、購買プロセスの中に柔軟に導入可能です。

ユーザーに対して安心な利用環境を提供することは、事業者側のチャージバックリスクを低減することにも繋がります。

新手の攻撃手法が日々登場している中、仮に情報が漏洩しても被害を未然に防げるInfront Securityの認証は最も信頼のおける認証方式の1つです。

記事一覧へ戻る
無料で資料請求 認証のお悩みを
オンラインで無料相談