ITmedia NEWS > セキュリティ >
連載
» 2020年08月28日 07時00分 公開

「見えないWeb攻撃」──情報漏えい対策の盲点:攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態 (3/3)

[中西一博,ITmedia]
前のページへ 1|2|3       

 現代のWebサイトでは、サイトの来訪者分析や、各種の入力フォーム、ソーシャルメディアやSaaS型サービスとの連携、正規のカード決済処理など、さまざまな用途でJavaScriptが使われている。それらの機能は、自社で作成したスクリプトだけでなく、サードパーティーのJavaScriptを外部参照することで実現している。

 実際、Akamai TechnologiesのWebページを例にとって分析してみると、使っているスクリプトのうち68%でサードパーティを参照していた。ECサイトだと割合はさらに高くなり、9割に達する場合も少なくない。

Webページに含まれるさまざまなJavaScript

 これらのスクリプトは、ビジネスのデジタル化を成功に導くためにいまや必須の要素だ。特に商用サイトでは、Webビジネス事業部門が主体になってマーケティングオートメーション、企業間サービス連携、決済や物流といった一連のプロセスの要所にこうした仕組みを深く組み込んでいるため、「セキュリティ上のリスクがあるから」という、セキュリティ担当者側からのあいまいな指摘だけで、サイトから取り払うことは事実上不可能だ。逆にいえば、Magecartの攻撃は、現代のWebが抱える避けられない弱点を絶妙に突いた攻撃だともいえるだろう。

Webサイトの管理者がまずできることは?

 もし、多くのWebサイトで利用されている外部サービスのJavaScriptが侵害されると、被害が一気に数千というサイトに広がるのが、サードパーティースクリプトを用いた攻撃の特徴でもある。また、サードパーティーのJavaScriptから、さらに別のサイト上のJavaScriptを孫参照している例も少なくない。こうした「スクリプトのサプライチェーン」のどこかで起きうる侵害を、人の目で常時監視していくには限界がある。

 また、正規に提供されているスクリプトなのに、必ずしも必要とは思えない機微な情報にブラウザ内でアクセスを試みるスクリプトも、調査でしばしば発見されている。

 現在起きているWebスキミングを防ぐには、自社Webサーバの脆弱性対策に加えて、新たな仕組みが必要なことは間違いないが、まずはJavaScriptを利用する攻撃の実態とリスクを理解して、社内の関係者の間で問題意識を共有することが重要だ。実際、話してみると実はJavaScriptの管理とチェック体制に危機意識を持っていた、と答える現場担当者は多い。

 最後に、「Webスキミングで盗まれる情報は利用者が入力するクレジットカード情報だけではない」という点にも注意を払ってほしい。さまざまな個人情報やパスワード、追加で問われる「秘密の質問」などの認証関連情報も同様の手法で窃取が試みられている。例えば、入力内容の確認画面などのように単にブラウザに表示される情報も窃取の対象にできる。これらのことから、Webスキミングはクレジットカード決済機能を備えたWebサイトだけの問題ではなく、機微な情報を取り扱う全てのWebサイトが考慮すべき重大な脅威だといえる。

 次回の記事は、今回の内容を踏まえ、その後も進化を続けているWebスキミング攻撃の実態と、それらの「見えない」攻撃を可視化、防止するための対策の最前線を解説する。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.