　現代のWebサイトでは、サイトの来訪者分析や、各種の入力フォーム、ソーシャルメディアやSaaS型サービスとの連携、正規のカード決済処理など、さまざまな用途でJavaScriptが使われている。それらの機能は、自社で作成したスクリプトだけでなく、サードパーティーのJavaScriptを外部参照することで実現している。

　実際、Akamai TechnologiesのWebページを例にとって分析してみると、使っているスクリプトのうち68%でサードパーティを参照していた。ECサイトだと割合はさらに高くなり、9割に達する場合も少なくない。

Webページに含まれるさまざまなJavaScript

　これらのスクリプトは、ビジネスのデジタル化を成功に導くためにいまや必須の要素だ。特に商用サイトでは、Webビジネス事業部門が主体になってマーケティングオートメーション、企業間サービス連携、決済や物流といった一連のプロセスの要所にこうした仕組みを深く組み込んでいるため、「セキュリティ上のリスクがあるから」という、セキュリティ担当者側からのあいまいな指摘だけで、サイトから取り払うことは事実上不可能だ。逆にいえば、Magecartの攻撃は、現代のWebが抱える避けられない弱点を絶妙に突いた攻撃だともいえるだろう。

Webサイトの管理者がまずできることは？

　もし、多くのWebサイトで利用されている外部サービスのJavaScriptが侵害されると、被害が一気に数千というサイトに広がるのが、サードパーティースクリプトを用いた攻撃の特徴でもある。また、サードパーティーのJavaScriptから、さらに別のサイト上のJavaScriptを孫参照している例も少なくない。こうした「スクリプトのサプライチェーン」のどこかで起きうる侵害を、人の目で常時監視していくには限界がある。

　また、正規に提供されているスクリプトなのに、必ずしも必要とは思えない機微な情報にブラウザ内でアクセスを試みるスクリプトも、調査でしばしば発見されている。

　現在起きているWebスキミングを防ぐには、自社Webサーバの脆弱性対策に加えて、新たな仕組みが必要なことは間違いないが、まずはJavaScriptを利用する攻撃の実態とリスクを理解して、社内の関係者の間で問題意識を共有することが重要だ。実際、話してみると実はJavaScriptの管理とチェック体制に危機意識を持っていた、と答える現場担当者は多い。

　最後に、「Webスキミングで盗まれる情報は利用者が入力するクレジットカード情報だけではない」という点にも注意を払ってほしい。さまざまな個人情報やパスワード、追加で問われる「秘密の質問」などの認証関連情報も同様の手法で窃取が試みられている。例えば、入力内容の確認画面などのように単にブラウザに表示される情報も窃取の対象にできる。これらのことから、Webスキミングはクレジットカード決済機能を備えたWebサイトだけの問題ではなく、機微な情報を取り扱う全てのWebサイトが考慮すべき重大な脅威だといえる。

　次回の記事は、今回の内容を踏まえ、その後も進化を続けているWebスキミング攻撃の実態と、それらの「見えない」攻撃を可視化、防止するための対策の最前線を解説する。

イープラスに聞く、悪徳転売業者を駆逐するまで　チケット購入アクセスの「9割占めた」botを徹底排除
botを駆使してチケットを買い占める高額転売業者にイープラスがどのように立ち向かったのか。「迷惑bot事件簿」（特別編）では、イープラスの小西雅春氏にインタビューし、当時の戦いを振り返る。
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。
1日に1.15億回以上　急増する不正ログインの裏に“botの存在”
最近のサイバー攻撃のニュースを追っていると、不正ログインに起因する被害を目にする機会が増えてきた。新たに発表されたいくつかの分析データを用いて、この攻撃の動向とbotの関わりについて考察。
チケット購入アクセス「9割がbot」→“殲滅”へ　イープラスの激闘を振り返る
今年8月、「e＋」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースが報じられた。あれから4カ月、bot対策はさらに進み、目に見える効果をあげている。
イープラス「チケット購入アクセスの9割がbotだった」――アカマイの検知システムで判明