偽画面(ショッピングサイト決済時)でクレジットカード情報が盗まれる被害が相次いでいることが報道されています。
2018年から同様の被害が出始め、2019年5月にも一度ニュースになっていましたが、
年末年始で何かと買い物をする機会が多くなる時期ですから、ここでもう一度、しっかりと注意喚起しておくべき事案ですね。
どこの通販サイトでクレカ情報流出?楽天?アマゾンは?
サイトを不正改ざんしてショッピングサイト決済時に偽画面を表示させ、
クレジットカード情報が盗まれたとされるサイトには楽天やアマゾン、メルカリやヤフオクとった大手サイトは含まれていません。
後で詳しく触れますが、「ECCUBE」というオープンソースのショッピングサイト構築プログラムを利用していたサイトが主なターゲットで、
具体的には下記の企業が運営するサイトでのショッピングサイト決済時に偽画面を表示され、クレジットカード情報が盗まれていたようです。
- 聖教新聞(書籍) 2481件
- 伊織(タオル) 2145件
- ウエスト(菓子) 668
- ディーエルマーケット(電子書籍など) 7741件
- バニーファミリー横浜(ペット用品) 241件
- ハセプロ(印刷) 1311件
- ジェイワークス(菓子) 1045件
サイト改ざんされたサイトの数は少なくとも100件以上はあるとされているので、
まだまだ被害の規模は拡大するかもしれません。汗
偽画面(ショッピングサイト決済時)見分け方は?
ショッピングサイト決済時に偽画面が表示されてしまうのはECCUBEを使ってサイトを構築していて、
さらに下記にあげるようなセキュリティ対策を怠っていた場合に限ります。
- EC-CUBEの既知の脆弱性修正対策
- 利用しているサーバーのセキュリティ対策
- EC サイトの管理画面のセキュリティ対策
- 同じ環境に設置されている他の CMS のセキュリティ対策
基本的にサイト管理者(web管理者)がきちんとEC-CUBEのアップデートを行っていれば、
サイトに不正アクセスされて改ざんされることはないものの、
中にはどうしても手が行き届かない会社もあり、そういったところが狙われた形になりますね。
偽画面(ショッピングサイト決済時)はどうやって見分けたらよいのかというと、
非常に難しいものがありますが、決済時に表示されるURL(ホームページのアドレス)を見て、
今まで見ていたサイトとは違うサイトのURLに切り替わっていないかどうかを確認することです。
見た目で偽画面かどうかを判断するのは非常に難しいものがあるし、
どのサイトが改ざんされているかを利用者が事前に確かめるのも困難です。
ショッピングサイト決済時には流れ作業でクレジットカード情報を入力せずに
いったん一呼吸を置いて、URLを慎重に確認するしかありません。
偽画面(ショッピングサイト決済時)に関するツイッターの反応
