今、サイバー犯罪者たちはどのような攻撃を使っているのか。これから何が脅威になるのか。今後さらに増加すると想定されている、JavaScriptによるスキミングについて知っておこう。
「JavaScript」は、インタラクティブなWebページの作成に使われる重要なテクノロジーだ。だが、プログラミング言語を攻撃の武器にしようとするサイバー犯罪者が、至るところに存在するJavaScriptを見逃すはずはない。
実際、JavaScriptは重要な役割を担っており、全Webサイトの95%で利用されている。JavaScriptには、間違った方法や意図しない方法で利用しないためのメカニズムとして独特の属性がある。こうした属性が悪用されるのは企業ネットワークの領域外だ。従って、その悪用は従来のセキュリティ制御の範囲外ということになる。
サイバー犯罪者はこうした盲点を突き、数週間も数カ月も悟られないままユーザーを危険にさらしている。
こうした脅威に特に脆弱(ぜいじゃく)な分野の一つが、収益性の高いeコマース分野だ。サイバー犯罪者はJavaScriptの内部深くにWeb形式のスキマーを埋め込み、そのWebサイト全体に網を掛けて顧客のクレジットカード情報を傍受する。
常に革新を続けるサイバー犯罪者は、企業や顧客を侵害する新たな手口を開発している。2020年代はJavaScriptの脅威の進化を予感させる幕開けとなった。こうした動きの最前線で暗躍するのがMagecartだ。この正体不明のオンライン犯罪者シンジケートは、オンライン決済フォームをスキミングしてクレジットカード情報を盗むことを専門とする複数のサブグループで構成されている。
Magecartによるセキュリティ侵害が頻繁に検出されるようになり、ネット全体でスキミングが悪用される事例をサイバーセキュリティ企業は何百万件も確認している。Magecartの攻撃の担い手は素人から熟練の犯罪者まで幅広く、それが暗躍の範囲を広げている。時間とともにMagecartの攻撃は高度化している。
Magecartの犯罪者は、大企業のeコマースプラットフォームを注意深く調査し、内部の仕組みや隠れた脆弱性を洞察する。
彼らは標的のWebサイトの外観や機能に合わせてカスタマイズしたスキマーを開発する。このスキマーを利用して、通常のスキミングでは入手できないクレジットカード情報などを盗み取る。例えば、オンラインショッピングのプロフィールに入力された顧客名や配送先住所などの情報をスキミングする。
Magecartの犯罪者はスキミングした個人情報(PII)と対応する金融データを組み合わせて「Fullz」と呼ばれる高価値データのパッケージを作成して、闇市場で販売する。城と同様、Webサイトには弱点がある。攻撃者に必要なのは、標的を研究して弱点を特定する時間だけだ。
Magecartには、サードパーティーのWebサービス企業に着目するグループもある。標的となるのは、訪問回数の多い人気ブランドのWebサイトで幅広く使用されるウィジェットを有する企業だ。こうしたサービスの一つを侵害すれば、そのサービスを利用する全サイトのセキュリティを効果的に侵害できる。
サメが水中に広がる血に引き寄せられるように、犯罪者集団も収益性の高いエコシステムに引き付けられる。以前は銀行取引のマルウェアを専門にしていたMagecart Group 4はスキミング攻撃に転身した。その結果、この脅威ベクトルに関心がある才気あふれるサイバー犯罪者が結集し、スキミング手法の強化に注力している。もはや、どのようなオンライン決済方法を利用しているかは問題にならない。時間があればサイバー犯罪者は脆弱性を見つけ出す。
スキミングの脅威の活発化、持続化を考えると、BA事例のような最悪のシナリオに陥らないように、企業は徹底的な防護策を開発することが極めて重要になる。
安全性を確保する秘訣(ひけつ)は、自社のWeb向けデジタル資産とその基になるJavaScriptに関する幅広い知識と可視性を提供することだ。そのデジタル資産を自社開発したか、サードパーティーからサービスとして読み込んだかは関係ない。こうして提供したコードがユーザーのPCで実行されれば、この対策がない限りは気付くことのない悪意ある変更をユーザーの目を引き付けるように示すことができる。
とはいえ、どれだけ自己防衛策を立てたとしても、これからもJavaScriptへの脅威が高度化することは避けられず、現状に甘んじれば痛い目を見るのは間違いない。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
