ショッピングサイト決済時だけ偽画面の対策【クレジット情報を守ろう】
私は、Web制作歴10年になります。
50サイト以上のオンラインショップを作ってきました。
『ショッピングサイト決済時だけ偽画面』が世間をざわつかせてますね。
私もよくオンラインショップで買い物をするため、これは怖いなと思います。
決済時だけ偽画面ということは、その頁以外は本物なわけですからなかなか気づけないでしょう。
今回、『ショッピングサイト決済時だけ偽画面』について、今までの制作経験をもとに説明と、できる対策についてまとめていきたいと思います。
私自身セキュリティの専門家ではないので、サイト制作者としての意見として参考にしていただければと思います。
▼読んでほしい人
手口はかなり巧妙です。
(NHK NEWS WEBより)
【流れ】
商品を購入しようとする
↓
偽の決済画面
↓
カード情報を入力
↓
エラー
↓
通常の決済画面
↓
商品購入
インターネットショッピングサイトが予め改ざんされて、商品を購入しようとすると決済画面だけ『偽画面』が表示されます。
その画面にクレジットカード番号を打ち込むことで、クレジット情報が盗まれるといった被害が横行しています。
しかも、1回はエラーが表示されるのですが、2回目以降は通常のサイトに戻り、何事もなかったかのように買い物ができるとのことです。
かなり巧妙で気づきにくい手口だと思います。
サイトの見た目ではほぼわからない
おそらくサイトの見た目ではほぼわかりません。
「偽サイトに飛ばされるんだからその時点でわかるんじゃないの?」と思う人もいると思います。
しかし、実は全く見分けのつかないサイトを容易に作ることができます。
Webサイトにおいて、表面上のデザインやコードを盗むのは簡単にできてしまうのです。
つまり、気づけるとしたら、1回目のエラー時になると思います。
ですが、1回くらいのエラーであれば、「番号間違えたのかな?」という程度にしか思わないのではないでしょうか。
そう考えると見た目で気づくことはほぼ不可能ではないかと思います。
実はショップにはいろんな種類があります。
大きく分けると3種類のサイトがあります。
ここでは、オンラインショップのことをECサイトと言います。
electronic commerce(エレクトロニックコマース=電子商取引)の略です。
紹介していきます。
モール型ECサイト(モール)
amazonや楽天ショッピング、Yahooショッピングなどです。
イオンなどの量販店を思い浮かべてもらえればわかりやすいのですが、大きなモールの中にいくつもの店舗や専門店が並ぶような仕組みになっています。
サーバーは大元が管理していますので超大手です。
クラウドサービス型ECサイト(ASPカート)
MakeshopやBASE、カラーミー、STORES.jp、イージーマイショップ、futureshop、ショップサーブ、aishipR、らくうるカートなどです。
モール型に比べ、聞いたことのないショップが多いと思いますが、それはサイト上で表に出てこないからです。実際には多くのサイトで使われています。
モールとは違い、単体の戸建てのお店を想像するとわかりやすいです。横のつながりは特になく、それぞれのサイトが単独で集客しています。
こちらも大元がサーバーの管理をしているため、大手です。
ただし、クラウド型のECサイトはカート以降のみサービスを使うところもあるため、見分けが困難です。
オープンソース型ECサイト(ECパッケージ)
ECcubeです。
他にもありますが、ダントツでECcubeが多いです。
これは、オープンでECcubeをダウンロードしてきて、自分のサーバーにアップします。
そして、自由に改変できるため、カスタマイズ性の高いECサイトです。
サーバーは各自で用意したサーバーにアップします。
安全性のポイントは、サーバーにあります。
ショップがどのサーバーに置かれているのかが安全性を測る上で重要です。
安全性でいうのであれば、
モール型ECサイト > クラウドサービス型ECサイト > オープンソース型ECサイト
ではないかと思います。
モール型は比較的安全です。
amazonや楽天ショップは比較的安全だと言えます。
今回の手口の場合、途中で別の偽サイトにリンクしています。
つまり、本サイトに改ざんをされているということです。
本サイトのセキュリティが高い、amazonや楽天ショップであれば、その可能性は限りなく低くなるでしょう。
これは今回の手口に限ったことです。
例えば、サイトの入り口からamazonのサイトが偽造されていればわかりません。
モール型以外は注意が必要です。
今回の場合、肝になるのは、『本サイトが改ざんされている』かどうかです。
決済の時にだけ別サイトに飛ばされるということは
本サイト→決済に移った際に別のサイトにリンクを書き換えられているのです。
モール以外のサイトでは、改ざんされる可能性があります。
つまりモール型以外のサイトを使う場合は、注意したほうがよいです。
特に有名ではないお店のECサイトから購入する場合は、注意しましょう。
見分け方は上のURLをコピペする
これは、最終的な判断の仕方です。
今回の手口の場合、偽サイトに1度行っていますのでその時にURLは変わっています。
本サイト→偽サイト→本サイト
のような場合でも、偽サイトになったときにURLはかわっているはずなのです。
しかし、先ほど紹介したクラウドサービス型ECサイトでは、同じように決済時だけURLが変わるようなサイトもあります。
見分けつかないじゃんと思うかもしれませんが、URLの最初の方をコピペしてみてください。
【例えばBASEの例】
本サイト
https://shop.youange.com/
↓
カート
https://c.thebase.in/order/cart/youange
ここでURLが変わっていますね。
この時、カートのURLの頭部分『https://c.thebase.in』をコピペすると以下のページに行きます。
https://c.thebase.in/
このサイトは明らかにBASEのサイトですね。
安全だということがわかります。
つまり、URLの頭の部分をコピペして、調べれば大抵のサイトはわかります。
ここであきらかに怪しいサイトであれば購入をやめたほうがいいでしょう。
特にカード番号を入力するページであれば、一度コピペしてみて確認するといいでしょう。
今回の手口はかなり巧妙です。
対策の手順としては、まずはモール系を使うようにする。
次にどうしてもそれ以外のサイトでほしいものがあった場合は、URLをコピペして確認する。
この手順を踏むようにすれば、引っかかりにくくなるでしょう。
インターネットを使っての詐欺はこれからも増えてくると思います。
基本的に、疑ってかかったほうがよいかもしれないですね。
50サイト以上のオンラインショップを作ってきました。
『ショッピングサイト決済時だけ偽画面』が世間をざわつかせてますね。
私もよくオンラインショップで買い物をするため、これは怖いなと思います。
決済時だけ偽画面ということは、その頁以外は本物なわけですからなかなか気づけないでしょう。
今回、『ショッピングサイト決済時だけ偽画面』について、今までの制作経験をもとに説明と、できる対策についてまとめていきたいと思います。
私自身セキュリティの専門家ではないので、サイト制作者としての意見として参考にしていただければと思います。
▼読んでほしい人
- ショッピングサイトでよく買い物をする人
- 偽画面を見分けたい人
もくじ
ショッピングサイト決済時だけ偽画面とは
手口はかなり巧妙
手口はかなり巧妙です。
(NHK NEWS WEBより)
【流れ】
商品を購入しようとする
↓
偽の決済画面
↓
カード情報を入力
↓
エラー
↓
通常の決済画面
↓
商品購入
インターネットショッピングサイトが予め改ざんされて、商品を購入しようとすると決済画面だけ『偽画面』が表示されます。
その画面にクレジットカード番号を打ち込むことで、クレジット情報が盗まれるといった被害が横行しています。
しかも、1回はエラーが表示されるのですが、2回目以降は通常のサイトに戻り、何事もなかったかのように買い物ができるとのことです。
かなり巧妙で気づきにくい手口だと思います。
見た目ではほぼわからない
サイトの見た目ではほぼわからない
おそらくサイトの見た目ではほぼわかりません。
「偽サイトに飛ばされるんだからその時点でわかるんじゃないの?」と思う人もいると思います。
しかし、実は全く見分けのつかないサイトを容易に作ることができます。
Webサイトにおいて、表面上のデザインやコードを盗むのは簡単にできてしまうのです。
つまり、気づけるとしたら、1回目のエラー時になると思います。
ですが、1回くらいのエラーであれば、「番号間違えたのかな?」という程度にしか思わないのではないでしょうか。
そう考えると見た目で気づくことはほぼ不可能ではないかと思います。
利用するショップに気をつける
実はショップにはいろんな種類がある
実はショップにはいろんな種類があります。
大きく分けると3種類のサイトがあります。
ここでは、オンラインショップのことをECサイトと言います。
electronic commerce(エレクトロニックコマース=電子商取引)の略です。
紹介していきます。
モール型ECサイト(モール)
amazonや楽天ショッピング、Yahooショッピングなどです。
イオンなどの量販店を思い浮かべてもらえればわかりやすいのですが、大きなモールの中にいくつもの店舗や専門店が並ぶような仕組みになっています。
サーバーは大元が管理していますので超大手です。
クラウドサービス型ECサイト(ASPカート)
MakeshopやBASE、カラーミー、STORES.jp、イージーマイショップ、futureshop、ショップサーブ、aishipR、らくうるカートなどです。
モール型に比べ、聞いたことのないショップが多いと思いますが、それはサイト上で表に出てこないからです。実際には多くのサイトで使われています。
モールとは違い、単体の戸建てのお店を想像するとわかりやすいです。横のつながりは特になく、それぞれのサイトが単独で集客しています。
こちらも大元がサーバーの管理をしているため、大手です。
ただし、クラウド型のECサイトはカート以降のみサービスを使うところもあるため、見分けが困難です。
オープンソース型ECサイト(ECパッケージ)
ECcubeです。
他にもありますが、ダントツでECcubeが多いです。
これは、オープンでECcubeをダウンロードしてきて、自分のサーバーにアップします。
そして、自由に改変できるため、カスタマイズ性の高いECサイトです。
サーバーは各自で用意したサーバーにアップします。
安全性のポイントは、サーバーにあります。
ショップがどのサーバーに置かれているのかが安全性を測る上で重要です。
安全性でいうのであれば、
モール型ECサイト > クラウドサービス型ECサイト > オープンソース型ECサイト
ではないかと思います。
モール型は比較的安全
モール型は比較的安全です。
amazonや楽天ショップは比較的安全だと言えます。
今回の手口の場合、途中で別の偽サイトにリンクしています。
つまり、本サイトに改ざんをされているということです。
本サイトのセキュリティが高い、amazonや楽天ショップであれば、その可能性は限りなく低くなるでしょう。
これは今回の手口に限ったことです。
例えば、サイトの入り口からamazonのサイトが偽造されていればわかりません。
モール型以外は注意する
モール型以外は注意が必要です。
今回の場合、肝になるのは、『本サイトが改ざんされている』かどうかです。
決済の時にだけ別サイトに飛ばされるということは
本サイト→決済に移った際に別のサイトにリンクを書き換えられているのです。
モール以外のサイトでは、改ざんされる可能性があります。
つまりモール型以外のサイトを使う場合は、注意したほうがよいです。
特に有名ではないお店のECサイトから購入する場合は、注意しましょう。
見分け方は上のURLをコピペ
見分け方は上のURLをコピペする
これは、最終的な判断の仕方です。
今回の手口の場合、偽サイトに1度行っていますのでその時にURLは変わっています。
本サイト→偽サイト→本サイト
のような場合でも、偽サイトになったときにURLはかわっているはずなのです。
しかし、先ほど紹介したクラウドサービス型ECサイトでは、同じように決済時だけURLが変わるようなサイトもあります。
見分けつかないじゃんと思うかもしれませんが、URLの最初の方をコピペしてみてください。
【例えばBASEの例】
本サイト
https://shop.youange.com/
↓
カート
https://c.thebase.in/order/cart/youange
ここでURLが変わっていますね。
この時、カートのURLの頭部分『https://c.thebase.in』をコピペすると以下のページに行きます。
https://c.thebase.in/
このサイトは明らかにBASEのサイトですね。
安全だということがわかります。
つまり、URLの頭の部分をコピペして、調べれば大抵のサイトはわかります。
ここであきらかに怪しいサイトであれば購入をやめたほうがいいでしょう。
特にカード番号を入力するページであれば、一度コピペしてみて確認するといいでしょう。
まとめ
今回の手口はかなり巧妙です。
対策の手順としては、まずはモール系を使うようにする。
次にどうしてもそれ以外のサイトでほしいものがあった場合は、URLをコピペして確認する。
この手順を踏むようにすれば、引っかかりにくくなるでしょう。
インターネットを使っての詐欺はこれからも増えてくると思います。
基本的に、疑ってかかったほうがよいかもしれないですね。
