オンラインスキミングの手口と対策

専門家でも見抜くのが困難とされる「オンラインスキミング」というサイバー犯罪が広がりを見せています。その中で、フロントサイドに読み込まれるJavaScriptライブラリを用いる手口、および防御策について、データサインの坂本一仁が解説します
※この記事は読者によって投稿されたユーザー投稿です:
  • 編集部の見解や意向と異なる内容の場合があります
  • 編集部は内容について正確性を保証できません
  • 画像が表示されない場合、編集部では対応できません
  • 内容の追加・修正も編集部では対応できません

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年7月16日 
  • タイトル:オンラインスキミングの手口と対策
  • 発表者:株式会社データサイン プロダクトマネージャー 坂本 一仁

ブラウザが呼び出す外部サーバーに侵入してコードを改変

身に覚えがないクレジットカード決済に気づいた利用者の問い合わせから、自社サイトからの情報漏洩が発覚。しかしサイトのサーバーには侵入や改竄の痕跡となるログは残っていない。専門家でも見抜くのが困難とされる「オンラインスキミング」というサイバー犯罪が広がりを見せています。その中で、フロントサイドに読み込まれるJavaScriptライブラリを用いる手口、および防御策について、データサインの坂本一仁が解説しました。

オンラインスキミング(または、ウェブスキミング)とは、例えばECサイトにあるクレジットカードカード情報などの入力フォームに利用者が書き込んでいるデータを密かに読み取り(スキミングし)、第三者のサーバーに送るという犯罪行為です。

「開発者ツールでソースコードをご覧になると、ECサイトなどのWebページには、様々な外部サーバーが提供するJavaScriptライブラリが多数呼び出されています。例えば、アドネットワークA社サーバーが提供する広告用JavaScriptを呼び出している場合、犯罪者はA社の外部サーバーに侵入し、JavaScriptライブラリを書き換え、利用者がフォームに書き込むセンシティブな情報を読み取って別のサーバーに送信するように仕込みます。攻撃が利用者側のブラウザ内で完結しているために、ECサイトを運営する企業側のサーバーには痕跡が残りません」(坂本)

この手法の知名度を高めたのが、2018年9月、英国の航空会社ブリティッシュ・エアウェイズ(BA)のサイトから顧客38万人分のクレジットカード情報が漏洩した事件です。あるサイバーセキュリティ企業が、インターネット上にあるサイトのソースコードを定期的にアーカイブしている社内ツールを事件後に調査した際、BA社のサイトに読み込まれていたJavaScriptのコードが変化していたことを突き止め、手口が明らかになったといわれています。ただ、最近ではわずかな痕跡すら消してしまう新手も現れているとの指摘もあり、脅威となっています。

複雑化するデジタル広告ネットワークがもたらす弊害

坂本は、オンラインスキミング横行の要因には、近年の広告配信ネットワークの複雑化があると指摘します。

「コードを改竄される外部のサーバーとして狙われやすいのが、多くのJavaScriptライブラリを用いるアドサーバーです。1つのJavaScriptタグから10以上の外部サービスが呼び出されていることも珍しくありません。それぞれのサービスがさらに別の外部ドメインのライブラリを連鎖的に呼び出して動作していることも多く、どこに不正なコードが埋め込まれているのか検証することも極めて困難です」(坂本)…

続きは、DataSignブログで

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

カスタマージャーニー
顧客が製品・サービスを体験購入するまでのプロセスを示すもの。一連の流れを図式化す ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]