カリフォルニア州サンタクララに拠点を置くセキュリティベンダーMalwarebytes社のセキュリティ研究者は、正規のWebサイトのチェックアウトコードを侵害するサイバースキミングキャンペーンが現在増加していることを報告しています。
今年初めのMalwarebytes社のセキュリティ研究者の報告によると、Webスキミング(デジタルスキマー)の仕組みでは、正規のWebストアのチェックアウトコードに特別なコードが挿入されますが、このコードが脅威として検出されることはありません。Malwarebytes社の最近のニュースでは、わずか1か月の間にこのようなWebスキミング攻撃が50%も増加しており、「侵害されたサイトが増加し、これらのサイトでショッピングするユーザーが被害に遭うケースが大幅に増加している」ことを伝えています。
ここで問題なのは、オンラインでショッピングするユーザーは、現実世界のガソリンスタンドに仕込まれたスキミング装置のように、しばらく経って不正な請求があるまで、詐欺にあったことに気づかず、疑いも持たないことです。さらに、クレジットカードのデータがどこで流出したかを知ることもできません。
しかし、この攻撃はさらに大きな問題をはらんでいます。サイバー犯罪者は正規のチェックアウトプロセスにコードを挿入する高度な手法を考案しており、制限を受けずに攻撃していることです。これらの攻撃は、情報窃取ツールの起動、チェックアウトページの広告からのソーシャルエンジニアリング、そしてユーザーからクレジットカード以外の情報を収集する攻撃に拡大する恐れもあります。
Webスキミングの被害に受けないようにするためにできる対策は多くはありませんが、ショッピングなどオンラインで活動するときには、常に警戒を怠らないことです。新しいスタイルの先進的なセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)を受講すれば、リスクの高い行動を認識し、警戒を強めることが可能になります。年末年始にサイバー攻撃の被害者にならないように注意してください。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2023年11月22日発信 https://blog.knowbe4.com/digital-skimming-increases-holiday-season