ウェブスキミング(オンラインスキミング)とは?
オンライン上において「個人情報の漏えい」や「不正取得」と聞くと、サーバーに不正侵入されてデータベースから個人情報が抜かれる、フィッシングサイトから盗まれる、というイメージがありますが、昨今、ウェブスキミングと呼ばれる、痕跡が残りづらく、検知も難しい手法を用いて、正規のウェブサイトやアプリから個人情報を窃取する事案が増えています。(オンラインスキミングとも呼ばれています)
ウェブスキミングは、正規のウェブサイトやアプリに設置されている、ログインフォームやお問合せフォーム等の入力フォームから直接、入力された情報を盗んでいくことから、サーバーに侵入することなく個人情報が窃取されるため痕跡が残りにくく、対策もまだ進んでいないため、そもそも被害が発生していること自体を検知することもできていない例が多く見受けられます。
2023年11月にはウェブスキミングの手法を用いたクレジットカード情報の窃取で初の摘発がされましたが、特定のECサイトで購入をした人のクレジットカードの不正利用が増えていることをクレジットカード会社が検知し、調査を行ってみたところ、そのECサイトからウェブスキミングによってクレジットカード情報が窃取されていた、というように外部からの指摘によって発覚することがほとんどです。
クレジットカード情報の窃取は不正利用によって漏洩元が特定されることもありますが、ログインIDやパスワード、お問合せフォームに入力した個人情報などは、不正に利用されたとしても漏洩元を特定することやそもそも検知をすることが難しいため、発覚しているものは氷山の一角でしかなく、その被害は計り知れないと言われており、多方面で対策が急がれています。
個人情報保護法ガイドラインの改正で対策が義務化?
現在、個人情報保護法では、個人データに対して安全管理措置義務(法第23条)が課されています。
個人情報保護法 第23条(安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
要は、個人データが漏えいしないようにセキュリティを確保しなければならない、という義務です。
ここで問題となるのは、ウェブスキミングによって窃取される、お問合せフォーム等に入力された情報は、窃取されるタイミングでは個人データでは無く、安全管理措置の対象になっていないのではないかということです。
少しテクニカルな話になるのですが、個人情報保護法上、「個人情報」と「個人データ」は別のものであり、安全管理措置義務は「個人データ」にかかります。
「個人データ」とは、簡単に説明すると「個人情報を検索できるように整理」したものです。
ウェブスキミングでは、上記で説明したように、フォームを設置したウェブサイト運営者のデータベースに保存される前(検索可能な状態に整理される前)に、窃取されていることから、その情報は個人情報保護法上、安全管理措置義務が課されいることが明確ではなく、漏洩報告義務もありません。
要するに、個人情報保護法上、ウェブスキミングに関しては、セキュリティを確保する義務も、漏洩した際にその被害者や当局に対して報告する義務もないのではないか、という問題がありました。
そこで今回個人情報保護委員会では、個人情報保護法のガイドラインを改正し、ウェブスキミングに関しても事業者の責任として、安全管理措置義務や漏洩報告義務が課されるように明確化しています。 具体的には以下のような改正がなされ、2024年4月1日に施行されます。
個人情報保護法ガイドライン 3-4-2 安全管理措置(法第 23 条関係)
「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
この改正によって、個人データとして取り扱うことを予定しているものに対しても、安全管理措置義務や漏洩報告義務が課されることが明確になり、お問合せフォーム等のフォームを設置しているウェブサイトやアプリを運営する事業者はウェブスキミングに対策することが義務付けられることが明確化されました。
ウェブスキミングへの対策方法
ウェブスキミングはの対策として有効な方法として、ウェブサイトにContent-Security-Policyを設定することが考えられます。Conten-Securitu-Policyは、そのウェブサイトからの情報送信先をホワイトリストで管理するものです。
例えば、自社のサーバーにしか情報を送信したくない場合は以下のようにContent-Security-Policyを設定します。
default-src 'self'
しかし、何も考えずにこの設定をしてしまうと、必要な第三者への情報送信も行われなくなってしまうため、アクセス解析のために導入しているGoogle Analyticsが動作しなくなってしまったり、そもそもマーケティングオートメーションなどを利用しているとフォーム自体も表示されなくなってしまいます。
そのため、Content-Security-Policyを設定する際には、ウェブサイトでどのようなツールを利用していて、そのツールが発生させる通信はどのようなものがあるか調査を行い、何をホワイトリストに登録すれば良いかの調査してから設定する必要があります。
一例として、Facebookでの設定例を紹介します。長すぎるため横スクロールでの表示にしましたが、このように非常に複雑なものになっています。
default-src data: blob: 'self' https://*.fbsbx.com *.facebook.com *.fbcdn.net 'wasm-unsafe-eval';script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.google.com 127.0.0.1:* blob: data: 'self' connect.facebook.net 'wasm-unsafe-eval';style-src fonts.googleapis.com *.fbcdn.net data: *.facebook.com 'unsafe-inline';connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net wss://*.facebook.com:* wss://*.whatsapp.com:* wss://*.fbcdn.net attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com 'self' http://localhost:3103 wss://gateway.facebook.com wss://edge-chat.facebook.com wss://snaptu-d.facebook.com wss://kaios-d.facebook.com/ v.whatsapp.net *.fbsbx.com *.fb.com wss://web.whatsapp.com/ws/chat reg-e2ee.facebook.com api1.tenor.co media.tenor.co cdn.fbsbx.com https://api.mapbox.com https://*.tiles.mapbox.com;font-src data: *.gstatic.com *.facebook.com *.fbcdn.net *.fbsbx.com;img-src *.fbcdn.net *.facebook.com data: https://*.fbsbx.com *.tenor.co media.tenor.com facebook.com *.cdninstagram.com fbsbx.com fbcdn.net *.giphy.com connect.facebook.net *.carriersignal.info blob: android-webview-video-poster: googleads.g.doubleclick.net www.googleadservices.com *.whatsapp.net *.fb.com *.oculuscdn.com;media-src *.cdninstagram.com blob: *.fbcdn.net *.fbsbx.com www.facebook.com *.facebook.com https://*.giphy.com data:;frame-src *.doubleclick.net *.google.com *.facebook.com www.googleadservices.com *.fbsbx.com fbsbx.com data: www.instagram.com *.fbcdn.net https://paywithmybank.com https://sandbox.paywithmybank.com;worker-src *.facebook.com/static_resources/webworker_v1/init_script/ *.facebook.com/static_resources/webworker/init_script/ *.facebook.com/static_resources/sharedworker/init_script/ *.facebook.com/static_resources/webworker/map_libre/ *.facebook.com/static_resources/webworker/map_libre_rtl/ *.facebook.com/sw/ *.facebook.com/sw;block-all-mixed-content;upgrade-insecure-requests;
便利な対策ツール
以上のように、Content-Security-Policyを設定し、管理運用することは非常に手間がかかることが想像できると思います。
そこでウェブスキミングに対応するための便利なツールを紹介します。手前味噌ですが、DataSignが提供しているwebtruが、現時点では最も簡単で安価に対応できるツールになっていると思います。
AkamaiやCloudflare等の大手事業者がウェブスキミング対策ソリューションの提供を始めていますが、導入や設定に手間がかかる上に費用もそれなりにかかります。
webtruは電気通信事業法対応ツールや同意管理ツールとして、多くの企業様に利用いただいておりますが、その土台となっている、ウェブサイトから発生している第三者への情報送信を検知し、同意の無いものや、不正な情報送信をブロックするという特許技術を保有しています。(日本、米国、EU、イギリスで特許出願)
この技術を応用することで、ウェブスキミングに対応することができるため、webtruは同意管理ツールのノウハウを生かし、簡単で安価にウェブスキミング対策ツールとしてご利用いただけるようになりました。
参照情報まとめ
- 個人情報の保護に関する法律 第二十三条(安全管理措置)
- 個人情報の保護に関する法律についてのガイドライン(通則編)3-4-2 安全管理措置
- 個人情報の保護に関する法律についてのガイドライン(通則編)2024年4月施行版(PDF)
- 個人情報の保護に関する法律についてのガイドライン(通則編)新旧対照表 (PDF)
関連記事
執筆者プロフィール
太田祐一
- 株式会社DataSign 代表取締役社長
- 一般社団法人MydataJapan 常務理事
- 総務省 プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ 構成員
- 内閣官房 デジタル市場競争本部 Trusted Web推進協議会 委員
- JIS Q 15001(Pマーク)JIS原案作成委員会 委員
- JIS X 29184 (オンラインにおけるプライバシーに関する通知及び同意) JIS原案作成委員会 委員