Webブラウザの中で起きる情報漏えいのリスクは、クレジットカード情報のスキミング(盗み読み)だけではない。これまで国内外で検出された攻撃を分析すると、アンチウイルスソフトの検知を回避するなど、さまざまなパターンでWebブラウザの弱点を悪用しようとする「クライアントサイド攻撃」の脅威が浮き彫りになってきた。
Webサイト管理者のブラウザを標的にする手法は、攻撃の範囲を想定する上で見落としがちだ。管理者の目を盗み、情報を窃取する「見えないクライアントサイド攻撃」。今回はその実態や特徴、セキュリティ管理者が確認すべきことに焦点を当てる。
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。
以前の連載:迷惑bot事件簿
12月22日までに日本で公表された、ECサイトにおける21年のクレジットカード情報流出の被害件数は、手元の集計では71件だった。これは前年比で約1.7倍の数値だ。しかも被害の多くで、クレジットカードのセキュリティコードまでもが盗み取られている。
本連載で過去に説明した通り、こういったWebスキミング被害の多くで、Webサイトにアクセスしたブラウザ内で動作する悪性のJavaScriptによって情報が読み取られている。不正なスクリプトをブラウザに挿入する手口と対策上の課題についても下記の図解を参照してほしい。
ECサイトを狙うクライアントサイド攻撃の目的は、サイト利用者のクレジットカード情報だけではない。サイト利用者のID、パスワードなどのユーザー認証情報やアクセス権限なども対象となる。その典型的な例が、日本のECサイトを狙う攻撃キャンペーン「Water Pamola」だ。
19年ごろにトレンドマイクロが名付けたこの攻撃は一見、顧客のカード情報を狙う攻撃に見える。しかし実際は、最初に顧客ではなく、ECサイトの管理者や従業員のWebブラウザに悪性のJavaScriptを読み込ませることで、サイトを自由に操れる権限を入手しようとする“多段攻撃”になっている。
攻撃者はまず、ECサイトの脆弱性を悪用し、サイト利用者になりすまして商品を注文する。そのとき、注文フォームのメモ欄などに簡単なスクリプトを忍ばせる。
サイトの管理者や従業員が注文内容をブラウザで開くと、仕込まれたスクリプトが動作。攻撃プログラム本体をブラウザに読み込ませ、管理者のアクセス権を利用してサイトにバックドアやリモート操作用のプログラムを設置する。これにより、サイト利用者の情報をクレジットカード情報に限らず盗めるようにする仕組みだ。
こういった手法で狙われやすいのは、サイト運営用のCMS(コンテンツ管理システム)など、サイトの更新が可能なアプリケーションだ。ECサイトだけでなく、企業の問い合わせフォームに入力される情報や、登録情報の確認画面に表示される情報もスクリプトで盗み取れる。
入力フォームを通して双方向に情報を交換する企業間取引用のサイトも、一般顧客向けサービスに比べて警戒が薄いケースが多いので、注意が必要だろう。いまや、窃取した従業員や取引先の個人情報は、サプライチェーン攻撃に用いるためブラックマーケットで取引される商品となっており、攻撃者からしても狙う価値がある。
従業員や取引先の情報には、クレジットカードのようにカード会社が漏えいを見つけて警告してくれるような仕組みが存在しない。サイト側が目を凝らして対策を講じないと、何が起きているか分からないまま情報が漏れ続けている可能性もある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR