三和コムテックは2025年4月1日、「Webスキミング攻撃 ヘルスチェックサービス」を発表した。Webサイトからクレジットカード情報などの情報を窃取する「Webスキミング攻撃」の被害に遭っていないかを確認するサービスである。
三和コムテックの「Webスキミング攻撃 ヘルスチェックサービス」は、Webサイトからクレジットカード情報などの情報を窃取する「Webスキミング攻撃」の被害に遭っていないかを確認するサービスである。Webスキミング対策サービス「GOOSEC」を提供するGIVとの提携によってサービスを開発した。
Webスキミング(Web skimming, Formjacking)攻撃とは、ECサイトなどに不正なコードを挿入し、訪問者が入力した個人情報や決済情報などを窃取する攻撃のこと(図1)。Webアプリケーションの脆弱性対策として一般的なWAF(Webアプリケーションファイアウォール)では検知・防御できない。
図1:Webスキミング攻撃の仕組み拡大画像表示
こうした状況から、クレジットカードセキュリティ国際基準のPCI DSSは、2024年4月発表のバージョン4でスキミング対策を追加するなどの動きがあるが、スキミングによるカード情報/個人情報の漏洩が後を絶たないという。
「Webスキミングを受けると、ランサムウェアなどと同様、攻撃を受けて情報漏洩していることに気づかずに大量の情報が流出する。賠償や対策に多大な負担がかかる」(三和コムテック)
同サービスでは、最初に簡易診断として、診断対象のサイトに含まれるJavaScriptを収集し、悪意のあるスクリプトの存在や痕跡を調べて報告する。攻撃のリスクが高い場合、フォレンジック調査など、より詳しい調査を行う。また、継続的な対策として「JavaScriptの変更防御・管理サービス」を合わせて提供する。
