Webスキミングとは、ECサイト(Eコマースサイト)上に不正なコードを挿入して、入力された決済情報を窃取する攻撃手法である。元々、スキミングは、クレジットカードに書き込まれている磁気ストライプを読み取り、同じ情報を持つ「偽造カード(クローンカード)」を作成し不正利用する犯罪手法であるが、これをWebサイト上でクレジット情報を窃取することから「Webスキミング」と呼ばれている。
Webスキミングの代表的な手法は、ECサイトの管理画面等へ総当たり攻撃を行ってID/PWを推測したり、脆弱性スキャンを行って改ざん可能な脆弱性を把握することから始まる。その後、窃取した情報を元に不正ログインやWebコンテンツを改ざんし、決済画面などにWebスキミング用の不正なコードを挿入。ユーザがECサイトで決済情報を入力すると、攻撃者のサーバへ決済情報が送信される、といったものである。
しかし、2019年には、従来のように直接ECサイトを改ざんしてWebスキミング用の不正なコードを挿入する手法ではなく、ソフトウェアサプライチェーンを悪用して改ざんしたJavaScriptライブラリを配布することで、多数のECサイトへ間接的にWeスキミング用の不正なコードを挿入する手法も発見されている。
Webスキミングの被害に遭わないために、ECサイト提供者は、ミドルウェアやプラットフォームを適宜アップデートして脆弱性を解消するとともに、認証の仕組みやセキュリティ設定などの見直しにより、セキュリティ・バイ・デザインの考え方でECサイトを堅牢化することが望まれる。
