また、「偽の画面に遷移した時点で、ユーザーが見破れる場合もあるのでは？」と思った方もいるかもしれませんが、この攻撃の怖さは、ユーザーにとって非常に見破りにくい点にあります。気付くのがどれほど難しいか、実際に起こった攻撃を例に見ていきましょう。

　「ユーザーが注意しよう」という対応の限界

　フォームジャッキングの巧妙さは、この手法で攻撃を受けてしまった伊織ネットショップの例を見るとよく分かります。

　攻撃者は、ユーザーに偽の画面でカード情報を入力させた後、何事もなかったかのように正規のサイトに遷移し、本来のクレジット決済画面を表示させます。ユーザーにとっては、エラー画面すら表示されず、結果的には正しく決済が行われるので、これだけで攻撃に気付くのは難しいでしょう。堅牢なクレジットカード決済事業者を狙うのではなく“ＥＣサイトそのもの”を攻撃することで、まんまと攻撃に成功した事例といえます。

正常な場合の画面遷移（伊織ネットショップ「クレジットカード情報流出についてのお知らせ」から）

攻撃を受けたときの画面遷移（伊織ネットショップ「クレジットカード情報流出についてのお知らせ」から）

　さて、このような方法でサイバー攻撃を受けてしまった場合、ユーザーは後になって気付けるでしょうか？　上記のような事例では、一度サイバー犯罪者が用意したページに遷移するものの、そのドメインを見て“怪しい”と判断するのはまず無理でしょう。あるいは「カード決済が一度目はエラーだったけれど、二度目は正しくできた」というタイミングで気付けるかもしれませんが、その場合も既にカード番号はサイバー犯罪者の手に渡ってしまっているので、どうしようもない－－という結論になってしまいます。