サイバー犯罪者のトレンドはJavaScriptを悪用したスキミング：攻撃者の手口を知ろう

今、サイバー犯罪者たちはどのような攻撃を使っているのか。これから何が脅威になるのか。今後さらに増加すると想定されている、JavaScriptによるスキミングについて知っておこう。

[Fabian Libeau，Computer Weekly]

　「JavaScript」は、インタラクティブなWebページの作成に使われる重要なテクノロジーだ。だが、プログラミング言語を攻撃の武器にしようとするサイバー犯罪者が、至るところに存在するJavaScriptを見逃すはずはない。

　実際、JavaScriptは重要な役割を担っており、全Webサイトの95％で利用されている。JavaScriptには、間違った方法や意図しない方法で利用しないためのメカニズムとして独特の属性がある。こうした属性が悪用されるのは企業ネットワークの領域外だ。従って、その悪用は従来のセキュリティ制御の範囲外ということになる。

　サイバー犯罪者はこうした盲点を突き、数週間も数カ月も悟られないままユーザーを危険にさらしている。

　こうした脅威に特に脆弱（ぜいじゃく）な分野の一つが、収益性の高いeコマース分野だ。サイバー犯罪者はJavaScriptの内部深くにWeb形式のスキマーを埋め込み、そのWebサイト全体に網を掛けて顧客のクレジットカード情報を傍受する。

　常に革新を続けるサイバー犯罪者は、企業や顧客を侵害する新たな手口を開発している。2020年代はJavaScriptの脅威の進化を予感させる幕開けとなった。こうした動きの最前線で暗躍するのがMagecartだ。この正体不明のオンライン犯罪者シンジケートは、オンライン決済フォームをスキミングしてクレジットカード情報を盗むことを専門とする複数のサブグループで構成されている。

　Magecartによるセキュリティ侵害が頻繁に検出されるようになり、ネット全体でスキミングが悪用される事例をサイバーセキュリティ企業は何百万件も確認している。Magecartの攻撃の担い手は素人から熟練の犯罪者まで幅広く、それが暗躍の範囲を広げている。時間とともにMagecartの攻撃は高度化している。

　Magecartの犯罪者は、大企業のeコマースプラットフォームを注意深く調査し、内部の仕組みや隠れた脆弱性を洞察する。

関連記事

• 仮想通貨を勝手に採掘するクリプトジャッキングの最悪の犯人
• Webサイトのクラウド移行時に絶対変えるべき3つのセキュリティ対策
• Webベースアプリのパフォーマンス＆セキュリティ最適化まとめ
• 「オンラインショップはセキュリティホールまみれ」と研究者が警告
• Facebookがモバイルアプリ用JavaScriptエンジン「Hermes」を公開

　彼らは標的のWebサイトの外観や機能に合わせてカスタマイズしたスキマーを開発する。このスキマーを利用して、通常のスキミングでは入手できないクレジットカード情報などを盗み取る。例えば、オンラインショッピングのプロフィールに入力された顧客名や配送先住所などの情報をスキミングする。

　Magecartの犯罪者はスキミングした個人情報（PII）と対応する金融データを組み合わせて「Fullz」と呼ばれる高価値データのパッケージを作成して、闇市場で販売する。城と同様、Webサイトには弱点がある。攻撃者に必要なのは、標的を研究して弱点を特定する時間だけだ。

　Magecartには、サードパーティーのWebサービス企業に着目するグループもある。標的となるのは、訪問回数の多い人気ブランドのWebサイトで幅広く使用されるウィジェットを有する企業だ。こうしたサービスの一つを侵害すれば、そのサービスを利用する全サイトのセキュリティを効果的に侵害できる。

　サメが水中に広がる血に引き寄せられるように、犯罪者集団も収益性の高いエコシステムに引き付けられる。以前は銀行取引のマルウェアを専門にしていたMagecart Group 4はスキミング攻撃に転身した。その結果、この脅威ベクトルに関心がある才気あふれるサイバー犯罪者が結集し、スキミング手法の強化に注力している。もはや、どのようなオンライン決済方法を利用しているかは問題にならない。時間があればサイバー犯罪者は脆弱性を見つけ出す。

スキミングの脅威を回避する方法

　スキミングの脅威の活発化、持続化を考えると、BA事例のような最悪のシナリオに陥らないように、企業は徹底的な防護策を開発することが極めて重要になる。

　安全性を確保する秘訣（ひけつ）は、自社のWeb向けデジタル資産とその基になるJavaScriptに関する幅広い知識と可視性を提供することだ。そのデジタル資産を自社開発したか、サードパーティーからサービスとして読み込んだかは関係ない。こうして提供したコードがユーザーのPCで実行されれば、この対策がない限りは気付くことのない悪意ある変更をユーザーの目を引き付けるように示すことができる。

　とはいえ、どれだけ自己防衛策を立てたとしても、これからもJavaScriptへの脅威が高度化することは避けられず、現状に甘んじれば痛い目を見るのは間違いない。