カーディング攻撃とは何か、およびそれらを防ぐ方法

e コマース業界の急速な成長により、新たなセキュリティの脅威がもたらされました。クレジット カード情報の盗難やカード攻撃は、オンライン ビジネスとその顧客の両方にとって最も大きな被害をもたらしています。

調査によると、2024 年までに、オンライン決済詐欺により、e コマース企業は年間 250 億ドル以上の損失を被ることになります。 サイバー セキュリティに対する古いアプローチがもはや効果的でないことは明らかであり、e コマース ビジネスを保護するために時代遅れのテクノロジに頼ることはできません。

このガイドでは、iThemes がカーディング攻撃を深く掘り下げ、ボットによる支払い詐欺が増加している理由と、オンライン ストアへの影響を軽減するために今日できることを説明しています。 また、e コマース ストアに顧客のカード情報を盗む悪意のあるコードがないかどうかを確認する方法と、顧客のショッピング エクスペリエンスを安全に保つ方法についても学習します。

e コマースがハッカーの主な標的となるのはなぜですか?

e コマースは、各オンライン ストアが収集して処理する必要がある大量の機密情報のため、常にサイバー攻撃の主な標的となっています。 これには、顧客の個人情報、クレジットカードやデビットカードの詳細、オンラインで商品やサービスを購入するために必要なその他の重要なデータが含まれます。

機密情報を保存する必要があるため、事業主は、安全な配送体験を提供するために幅広いセキュリティ対策を採用する必要があります。 しかし、何千もの Web サイトにまたがることが多い、進化し続けるボット主導のサイバー攻撃に耐えることがますます難しくなっています。

小規模なオンライン ストアから大規模な国際市場まで、すべての企業がデータ侵害の影響を受けなければなりません。 また、ハッカーは侵入する Web サイトを選択しないため、特に e コマースに関しては、サイバー セキュリティの重要性を誇張することはできません。

オンライン決済詐欺: カード情報の窃取からカーディング攻撃まで

すべてのサイバー セキュリティの脅威の中で、支払い詐欺は e コマース業界で特に蔓延しています。 安全なショッピング体験を完全に妨害し、クレジット カードの詳細を盗むことは、購入者と販売者の両方に多大な損害を与え、経済的損失と評判の低下につながります。

オンライン決済詐欺は、闇市場での販売や不正な取引を目的として、重要な決済情報を盗む犯罪行為の一種と定義できます。

ほとんどの場合、データ侵害の結果としてクレジット カードの詳細が公開された後、この情報はいわゆるディープ ウェブで販売されます。 これにより、サイバー犯罪者は追跡を回避しながら、違法行為から利益を得ることができます.

大規模な取引を試みる前に、盗まれたクレジット カード情報の有効性を判断する必要があるため、犯罪者はカーディング攻撃として知られる攻撃を実行します。

ハッカーがクレジットカード情報を盗む方法

クレジットカードまたはデビットカードの詳細は、支払い処理のどの段階でも犯罪者に公開される可能性があります。 これには、ストアのチェックアウト ページから支払い情報を盗むことや、フィッシング ページを使用して信頼できるサービスになりすまして情報を取得することが含まれます。

オンライン決済詐欺が成功している理由は、データ侵害を助長するさまざまな悪意のある活動にあります。 悪用されるソーシャル エンジニアリングとシステムの脆弱性の適切な組み合わせは、重要な支払い情報への不正アクセスを取得するための鍵となります。

JavaScript スニッフィング攻撃: チェックアウトから支払い情報を盗む

e コマース Web サイトを標的とする最も一般的なサイバー攻撃の 1 つは、オンライン ストアのチェックアウト ページからクレジット カードまたはデビット カードの詳細を盗むことを目的とした悪意のあるコード インジェクションです。 これは、JavaScript スニッフィング攻撃とも呼ばれます。

多くの場合、悪意のある JavaScript コードを Web サイト自体に挿入するか、外部ソースから悪意のあるスクリプトをロードします。 後者は、多くの場合、Web サイトがハッキングされる方法を説明できる SQL インジェクションの手段で達成されます。

iThemes チームは、Nexcess と緊密に協力して、JavaScript スニッフィング攻撃の影響を受けるオンライン ストアの数が増加していることを確認しています。 Magento と WooCommerce は、最も標的にされた e コマース プラットフォームの 1 つです。

WooCommerce Web サイトの所有者である場合は、WordPress データベースをスキャンして、悪意のある JavaScript ファイルが読み込まれた兆候がないか確認してください。 すでにマルウェア感染に対処している場合は、このステップをスキップしないでください: ハッキングされた Web サイトのクリーニング.

phpMyAdmin を起動し、ウェブサイトが使用しているデータベースを選択し、メインの水平メニューから検索インターフェイスを開きます。 すべてのテーブルを強力な以下で検索すると、Web サイトにロードされているすべての JavaScript ファイルを特定するのに役立ちます。

%script%src=%.js%script%

すべての検索結果を分析して、JavaScript スニッフィング攻撃を実行する悪意のあるコードがないことを確認します。 VirusTotal などのオンライン ツールを使用して、外部ソースから読み込まれたスクリプトがセキュリティ上の脅威をもたらすかどうかを判断できます。

Magento ストアを実行している場合は、同じアプローチを使用できます。 ほとんどの場合、悪意のある JavaScript ファイルは core_config_data テーブルから読み込まれます。

カーディングアタックとは？

犯罪者は、盗まれた支払い情報を検証するために、カーディング攻撃またはクレジット カード スタッフィングとしても知られる自動カード テストを使用します。 これは、犯罪者がクレジット カードやデビット カードの詳細情報を盗んだり、専門のカーディング フォーラムから購入したりした後に実行する次のステップです。

カーディング攻撃は、盗まれたクレジット カード情報の検証を目的として実行される、自動化された、またはボット主導のサイバー攻撃です。 カーディング攻撃は、オンライン ストアで使用される支払い処理システムに対して実行されます。

カーディング攻撃の対象となる e コマース Web サイトはランダムに選択され、必ずしも支払い情報を盗むために使用されるとは限らないことに注意することが重要です。 これは、一般的なオンライン決済詐欺、特にカーディング攻撃が、加盟店、購入者、支払い処理システムを含むすべての主要な e コマース プレーヤーに損害を与えているという事実を浮き彫りにしています。

カーディング攻撃はどのように機能しますか?

カーディング攻撃は高度に自動化されています。 犯罪者は、ボット、またはボットネットとも呼ばれるボットのネットワークを展開します。 ボットのネットワークは、盗まれた支払い情報を検証し、CVV コードや有効期限などの不足している詳細を取得するために、多数の試みを並行して実行します。

これは、次の 2 つの主な形式のいずれかで発生します。

• 承認。 カード承認は、犯罪者が発見されることなくカードの詳細を確認するのに役立ちます。 承認はカード所有者の明細書に表示されないため、正当なカード所有者が不正行為に気付き、報告する可能性が低くなります。
• トランザクション。 攻撃者は、盗まれた資格情報を検証するために少額の支払いを行うこともできます。 そのため、少額の購入を促進する企業は、この種のカーディング攻撃の完璧な犠牲者になります.

クレジット カード情報はまとめて盗まれることが多いため、有効な支払い情報を特定するには、何千回もの検証試行が必要になる場合があります。 カーディング攻撃は高度に分散されており、ボットは一度に多数の e コマース Web サイトを標的にしています。

ボットは、プロセスを簡素化および高速化し、Web アプリケーション ファイアウォールや不正検出システムなど、標的の Web サイトのセキュリティ ソリューションによる検出を回避するのに役立ちます。 侵害されたコンピューターのネットワーク全体を持つことで、元の IP アドレスを迅速に変更し、既存のファイアウォール ルールをバイパスすることができます。

e コマース ビジネスに対するカーディング攻撃の悪影響トップ 3

支払い詐欺とカーディング攻撃は、業界と支払いエコシステム全体に悪影響を与えるデジタル コマースの避けられない部分です。 クレジット カードの詳細を盗むことは、購入者に大きな損害を与えるように見えますが、販売者や決済処理業者は、金銭的損失と広範な評判の低下に苦しんでいます。

最近の調査によると、e コマース ビジネスは 1 ドルの不正取引ごとにさらに 4 ドルを失い、この数は今後数年間で増加すると予想されています。 カーディングには多くの悪影響があり、実質的なセキュリティ対策がタイムリーに実装されない場合、時間の経過とともに蓄積されます。

最も有害な結果は次のとおりです。

• 風評被害。 カーディング攻撃による高い拒否率は、顧客や支払い処理業者に対するビジネスの評判に深刻なダメージを与えます。 評判が低いと、すべての取引がより危険に見え、正当な支払いの拒否率が高くなります。
• 経済的損失。 カード所有者が不正な取引に気づいて報告した場合、チャージバックは支払いに関する紛争を解決するために使用される主要なツールです。 支払い詐欺の結果として、チャージバックは収益とビジネスの持続可能性に大きな脅威をもたらします。 カードのテストにより、追加の処理料金や製品の損失が発生することもよくあります。
• インフラストラクチャの負担。 カード テストは、サーバー インフラストラクチャに過剰な負荷をかけ、正当なアクティビティを妨害する Web 要求の増加につながります。

支払い詐欺は必然的に収益の損失につながり、e コマース業界の通常の機能を混乱させます。そのため、詐欺への対処は、加盟店と支払い処理システムの共同作業に変わりました。

カーディング攻撃を検出する方法

サーバー側の監視と、支払い承認の失敗率などの特殊な指標の追跡を組み合わせて使用​​することで、カーディング攻撃を検出することができます。

サーバー側インジケーター

他の種類のボット主導のサイバー攻撃と同様に、攻撃の自動化された性質を明らかにする特定の IP アドレスからの予想外に多数のリクエストが表示されます。 Web サイトの応答が通常より遅くなり、それをホストしているサーバーの負荷が高くなり、Web サーバーが HTTP 要求をキューに入れていることに気付く場合があります。

購入および支払い処理インジケーター

カーディング攻撃の間、および緩和された後でも、オンラインストアがカードテストに苦しんでいることを示す次の兆候が見られる場合があります。

• 失敗した支払い承認の数の大幅な増加。
• チャージバックの増加。
• ショッピングカートの放棄率が高い。
• 平均的なショッピング カートのサイズよりも小さい。
• 同じ IP アドレス、IP 範囲、またはユーザー アカウントからの多数の支払い試行の失敗。

3 つのステップでカーディング攻撃を軽減する

カーディング攻撃の緩和を成功させるには、悪意のあるボット トラフィックの識別、より積極的なファイアウォール ルールとレート制限の実装、残りの不正な Web リクエストのブロックという 3 つの主な手順が含まれます。 軽減プロセスには、監視システムによって報告されたインシデントへのタイムリーな対応と、Web サイトのセキュリティを強化して悪意のあるアクティビティからストアを保護することが含まれます。

ステップ 1. 悪意のあるボット トラフィックを特定する

カーディング攻撃が特定の時点でビジネスを積極的に標的にしている疑いがある場合は、Web サイトへのトラフィックを分析してください。 その点については、ホスティング プロバイダーの支援を求めるのが最善の方法かもしれません。 システム管理者は、Web サーバーが保持するログ ファイルを分析することで、不正行為をすばやく特定できます。

組み込みの Web アプリケーション ファイアウォール (Cloudflare WAF など) を備えたコンテンツ配信ネットワークを使用している場合は、Web サイトに来る悪意のあるボット トラフィックを識別するのに役立つログも保持されます。 ここでの主な目標は、特定のパターン (攻撃がどこから来ているか、どの IP 範囲が関与しているか) を見つけることです。

ステップ 2.より積極的なファイアウォール ルールとレート制限を適用する

進行中のカーディング攻撃をうまく緩和するには、システム全体のセキュリティを強化します。 これには、より厳格なファイアウォール ルールの導入とレート制限を含めることができます。これにより、異常なアクティビティへの迅速な対応が可能になります。

Cloudflareを使用してカーディング攻撃を緩和する

Cloudflare は、いわゆる「攻撃中」モードを提供します。このモードは、トラフィック分析のための追加手段を呼び出し、各訪問者のブラウザーに JavaScript チャレンジを提示します。 これを使用すると、全体的なユーザー エクスペリエンスが損なわれますが、カーディング攻撃をかなり迅速に軽減するのに役立ちます。

Cloudflare では、Project Honey Pot から収集された IP レピュテーション スコアに基づいて Web リクエストをブロックすることもできます。 Cloudflare ダッシュボードの [セキュリティ] > [設定] ページでセキュリティ レベルを [高] に設定して、脅威スコアが 0 より大きいすべてのリクエストをブロックします。

攻撃的なファイアウォール ルールとレート制限も、ほぼ必然的に正当な Web トラフィックのブロックにつながることに注意することが重要です。 そのため、これらの対策は、オンライン ストアが攻撃を受けている場合にのみ使用し、緩和が成功した直後に無効にする必要があります。

ステップ 3. 悪意のあるボット トラフィックを手動でブロックする

手動による緩和と自動ツールの使用をうまく組み合わせることで、悪意のあるボット トラフィックの処理に大きな成果が得られます。 すべての利点があるにもかかわらず、不正検出システムは理想的ではなく、人間による入力は非常に有益な場合があります。

最初のトラフィック分析の後、攻撃が実行された IP アドレスまたは IP 範囲を特定する必要があります。 悪意のあるボットをブロックするために、その場所と悪用、または評判、スコアを確認します。

CDN が提供する追加のセキュリティ対策を既に有効にしている場合、悪意のあるトラフィックの大部分は、Web サイトをホストするオリジン サーバーに到達する前に除外されます。 そのため、サーバーで受信する Web トラフィックを監視すると、悪意のある要求が来ていないことを確認するのに役立ちます。

カーディング攻撃や支払い詐欺から e コマース Web サイトを保護するための 3 つの主な側面

e コマースのセキュリティは多面的であり、システムとしてアプローチする必要があります。 特定の種類の攻撃からオンライン ストアを保護するための特定のソリューションを見つけるのではなく、最新のサイバー攻撃の背後にある原動力である悪意のあるボットやボットネットに対して適切な保護を確保する必要があります。

悪意のあるアクターを首尾よく特定し、あらゆる種類の不正行為を最初から防止するシステムを導入する必要があります。 このように、e コマース ビジネスを支払い詐欺やカーディング攻撃から保護するには、次の 3 つの主な側面があります。

• 適切なアプリケーション レイヤー セキュリティ。
• 高度な Web トラフィック分析とボット管理。
• 注文と支払いの制限。

アプリケーション層のセキュリティ

各 e コマース Web サイトは、疑わしい Web トラフィックがオンライン ストアに到達する前にフィルタリングする堅牢なアプリケーション レイヤー セキュリティ ソリューションを実装する必要があります。 理想的には、これにはクラウドベースとホストベースの Web アプリケーション ファイアウォールの組み合わせを含める必要があります。

管理されたルールセットとカスタム ルールは、送信元 IP アドレス、その場所、ユーザー エージェント、およびその他のさまざまな側面を含む、Web サイトに送信される各 HTTP 要求を分析し、構成されたルールのリストと比較します。 疑わしい Web トラフィックはすぐにブロックされ、悪意のあるボットにチャンスを与えることはありません。

セキュリティ ベンダーが提供する多数のマネージド ルールセットをインストールして展開し、e コマース ビジネスに合わせてキュレートされた独自のルールを作成できます。 主な目標は、防御の強力な最前線を提示することです。

iThemes Security Pro と BackupBuddy で WooCommerce ストアを保護

WordPress の堅牢なアプリケーション レイヤー セキュリティ ソリューションとして、iThemes Security Pro は WooCommerce ストアに最高のセキュリティ エクスペリエンスを長年提供してきました。 Web サイトの重要な領域を保護する 50 を超える方法を備えた iThemes Security Pro は、攻撃面を大幅に減らし、悪意のあるボット トラフィックと戦うことができます。

iThemes Security Pro のパワーと、受賞歴のあるデータ保護と回復用の WordPress プラグインである BackupBuddy を組み合わせることで、顧客の情報を定期的にバックアップし、離れた場所に安全に保管することができます。 ワンクリックの復元と柔軟なバックアップ スケジュールにより、店舗は常にお客様のそばにいます。

高度な Web トラフィック分析とボット管理

ほとんどの悪意のあるボット トラフィックは、IP の場所、レピュテーション スコア、およびその他のさまざまな要因に基づいて、Web アプリケーション ファイアウォールによって迅速かつ効果的に識別され、ブロックされます。 しかし、ハッカーは常にボット主導の攻撃を改善しており、正当な顧客になりすますことができるボットを作成しています。

これが、ボットと人間を区別する高度な Web トラフィック分析とボット管理システムが必要な理由です。 従来の CAPTCHA は、ボット トラフィックに対抗するための最初のステップでしたが、現在では徐々に過去のものになりつつあります。

それ以来、企業は、悪意のあるボットに対する堅牢な保護を提供しながら、ユーザー エクスペリエンスにほとんどまたはまったく影響を与えないことを約束する革新的なソリューションを考え出しました。 ボット管理および不正検出システムは、ユーザーの行動を分析し、Web トラフィックの異常を追跡します。

今日実装できる高度なソリューションの 1 つは、e コマース Web サイトで Cloudflare CDN を使用しなくても、Cloudflare Turnstile です。 システムは、訪問者の環境と行動に関する情報を収集する非対話型の課題をいくつか実行します。

ボット管理システムは信号を収集し、訪問者の行動を正規の e コマース顧客が通常示すものと比較します。 これは、最初のチェック (Web アプリケーション ファイアウォール ルール) をバイパスできた悪意のあるアクターをブロックするのに役立ちます。

注文と支払いの制限

支払い詐欺やカーディング攻撃に対する保護のもう 1 つの側面には、購入者の行動を制限する特定の購入および支払いポリシーの実装が含まれます。たとえば、次のようなものです。

• 最小注文サイズを増やします。
• 購入するには登録が必要です。
• 1 つの IP アドレスから作成されるユーザー アカウントの数を制限します。
• ユーザーが追加したり、購入に使用したりできるクレジット/デビット カードの数を制限する。
• 特定の期間中の IP またはユーザー アカウントによる失敗した支払い承認の数を制限します。

これには、カーディング攻撃に対処する機能を備えたプロセッサーに支払いのすべての側面を完全にアウトソーシングすることも含まれます。 最も人気のある支払い処理業者の 1 つである Stripe は、高度な不正検出機能を採用して、不正な支払いを防止しています。

支払い処理業者は、住所確認 (AVS) も実装しています。 AVS はチェックを実行して、提供された住所がカード発行会社に登録されている請求先住所と一致するかどうかを判断します。

e コマース Web サイトを保護し、安全なショッピング体験を提供するその他の方法

e コマース Web サイトをさまざまなセキュリティの脅威から保護することは、より便利で安全なショッピング体験を提供するのにも役立ちます。 これにはさまざまな対策が含まれますが、そのうちの最も重要なものの 1 つを以下に示します。

• PCI 準拠のホスティングを選択します。 クレジット カード情報を受け入れ、処理、保存、または送信するすべての企業は、PCI DSS で知られる一連の厳格なセキュリティ基準に従って、安全な環境を維持する必要があります。 PCI 準拠のホスティングは、マーチャントが Payment Card Industry Data Security Standard に準拠するのに役立ちます。 Liquid Web と Nexcess は、WooCommerce 向けに最適化された PCI 準拠のホスティング インフラストラクチャを提供します。
• SSL/TLS 証明書の自動更新を構成します。 ストアと顧客の間で交換されるすべてのトラフィックが暗号化されていることを確認してください。これは、e コマースにとって特に重要です。 安全なショッピング体験の中断を避けるために、SSL/TLS 証明書の有効期限が切れないようにしてください。
• 多要素認証またはパスワードレス認証を強制します。 パスワードが壊れています。 e コマース ストアでパスワード ベースの認証を使用すると、重大なセキュリティ上の脅威にさらされます。 多要素認証は、ハッカーを遠ざけるのに役立ち、データ侵害の可能性を大幅に減らします。 さらに先に進みたい場合は、iThemes を使用すると、パスワードを完全に捨てることができます。

iThemes Security Pro でパスワードに別れを告げましょう

WordPress Web サイトが影響を受ける最新の脆弱性を分析し、iThemes は、特に e コマースに関して、すべてのビジネス オーナーにとってプラットフォームの安全性と信頼性を高めることに取り組んできました。 未来はパスワードレスであり、iThemes は WordPress 認証にパスキーをもたらします。

WordPress Web サイトでパスワードレス認証を有効にして、オンライン ビジネスに最先端のテクノロジーを導入しましょう。 現在、すべての主要なブラウザーとオペレーティング システムでサポートされている生体認証ログインは、間もなく新しい認証標準になる可能性があります。

複数の WordPress Web サイトまたは WooCommerce ストアを運営している場合、iThemes Sync Pro は個人の Web サイト アシスタントになります。 高度なアップタイム監視とワンクリック更新により、1 つの中央ダッシュボードから Web サイト管理のすべての側面を管理できます。

まとめ

支払い詐欺とカーディング攻撃は、e コマース ビジネスに年間数十億ドルの損害を与え、業界全体と支払いエコシステムに混乱をもたらしています。 進化し続けるボット主導のサイバー攻撃により、経済的損失とそれに伴う風評被害から安全な企業はありません。

支払い詐欺からビジネスを保護し、顧客に安全なショッピング体験を保証するには、Web サイトのセキュリティに対して積極的なアプローチを講じる必要があります。 Web アプリケーション ファイアウォールと不正検出システムは、悪意のある Web トラフィックが e コマース Web サイトとその訪問者に害を及ぼす前に、それを識別してブロックするのに役立ちます。

WordPress を安全に保護するための最高の WordPress セキュリティ プラグイン

WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーにとって格好の標的となっています。 iThemes Security Pro プラグインは、WordPress のセキュリティから当て推量を取り除き、WordPress Web サイトを簡単に保護および保護できるようにします。 これは、WordPress サイトを常に監視して保護するフルタイムのセキュリティ専門家がスタッフにいるようなものです。

iThemes Security Pro を入手

キキ・シェルドン

Kiki は情報システム管理の学士号を取得しており、Linux と WordPress で 2 年以上の経験があります。 彼女は現在、Liquid Web と Nexcess のセキュリティ スペシャリストとして働いています。 それ以前は、Kiki は Liquid Web Managed Hosting サポート チームの一員であり、何百人もの WordPress Web サイト所有者を支援し、彼らがよく遭遇する技術的な問題について学びました。 彼女の執筆への情熱により、彼女は自分の知識と経験を共有して人々を助けることができます。 テクノロジーとは別に、キキは宇宙について学んだり、真の犯罪に関するポッドキャストを聞いたりすることを楽しんでいます。