2020年07月31日 10時00分 公開
PR

「Webスキミング」はなぜ危険? 目が行き届かないスクリプトを狙われるリスクWebブラウザ内で不審な挙動を検出

クレジットカード情報や顧客の個人情報漏えいの原因として、「Webスキミング」と呼ばれる攻撃手法が挙がるようになってきた。Webスキミング攻撃はなぜ対処しづらいのか、その危険性と対策を解説する。

[ITmedia]

 EC(電子商取引)サイトをはじめとするWebサービスを狙ったサイバー攻撃は後を絶たない。実際のインシデント例として、正規のSQLクエリに悪意ある操作を挿入し、標的のサーバで実行させる「SQLインジェクション」攻撃によってWebアプリケーションが侵害されたケースがある。Webアプリケーションを稼働させるミドルウェアの脆弱(ぜいじゃく)性を突いて攻撃者がWebサーバに不正アクセスし、保存されている顧客の個人情報を盗むといった事件もある。

 これらのインシデントを教訓として「脆弱性検査を実施してセキュアなWebアプリケーションを開発する」「WebサーバのOSやミドルウェアにパッチを適用する」「Webアプリケーションファイアウォール(WAF)によって不正アクセスを防ぐ」といった対策が広がりつつある。さらに、「そもそもデータを自社で保有しなければ盗まれない」という考えに基づき、自社システムにはクレジットカード情報を保存せず、決済代行業者に処理を委託する「カード情報の非保持化」は、2018年6月の「割賦販売法の一部を改正する法律」(改正割賦販売法)施行で浸透した対策だ。

 金銭を狙うサイバー犯罪者は、こうした対策を擦り抜ける新たな手法を盛んに使い始めている。その一つが、サイバー犯罪者集団「Magecart」が「Webスキミング」に用いるために使い始めた手法だ。Webスキミングでは、プログラミング言語「JavaScript」で記述された不正スクリプトをWebアプリケーションに仕込んで情報を抜き取ろうとする攻撃手法が広く用いられる。最も巧妙に作り込まれた攻撃は、これまでのWebアプリケーションでは攻撃を受けていた記録が残らず、発見さえ困難だという。その理由と、すでに国内外で横行しているWebスキミングの脅威を探りつつ、どう対策を講じればよいのかを見ていこう。


提供:アカマイ・テクノロジーズ合同会社
アイティメディア営業企画/制作:TechTargetジャパン編集部