オンラインスキミングの手口と対策

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2020年7月16日 
• タイトル：オンラインスキミングの手口と対策
• 発表者：株式会社データサイン プロダクトマネージャー 坂本 一仁

ブラウザが呼び出す外部サーバーに侵入してコードを改変

身に覚えがないクレジットカード決済に気づいた利用者の問い合わせから、自社サイトからの情報漏洩が発覚。しかしサイトのサーバーには侵入や改竄の痕跡となるログは残っていない。専門家でも見抜くのが困難とされる「オンラインスキミング」というサイバー犯罪が広がりを見せています。その中で、フロントサイドに読み込まれるJavaScriptライブラリを用いる手口、および防御策について、データサインの坂本一仁が解説しました。

オンラインスキミング（または、ウェブスキミング）とは、例えばECサイトにあるクレジットカードカード情報などの入力フォームに利用者が書き込んでいるデータを密かに読み取り（スキミングし）、第三者のサーバーに送るという犯罪行為です。

「開発者ツールでソースコードをご覧になると、ECサイトなどのWebページには、様々な外部サーバーが提供するJavaScriptライブラリが多数呼び出されています。例えば、アドネットワークA社サーバーが提供する広告用JavaScriptを呼び出している場合、犯罪者はA社の外部サーバーに侵入し、JavaScriptライブラリを書き換え、利用者がフォームに書き込むセンシティブな情報を読み取って別のサーバーに送信するように仕込みます。攻撃が利用者側のブラウザ内で完結しているために、ECサイトを運営する企業側のサーバーには痕跡が残りません」（坂本）

この手法の知名度を高めたのが、2018年9月、英国の航空会社ブリティッシュ・エアウェイズ（BA）のサイトから顧客38万人分のクレジットカード情報が漏洩した事件です。あるサイバーセキュリティ企業が、インターネット上にあるサイトのソースコードを定期的にアーカイブしている社内ツールを事件後に調査した際、BA社のサイトに読み込まれていたJavaScriptのコードが変化していたことを突き止め、手口が明らかになったといわれています。ただ、最近ではわずかな痕跡すら消してしまう新手も現れているとの指摘もあり、脅威となっています。

複雑化するデジタル広告ネットワークがもたらす弊害

坂本は、オンラインスキミング横行の要因には、近年の広告配信ネットワークの複雑化があると指摘します。

「コードを改竄される外部のサーバーとして狙われやすいのが、多くのJavaScriptライブラリを用いるアドサーバーです。1つのJavaScriptタグから10以上の外部サービスが呼び出されていることも珍しくありません。それぞれのサービスがさらに別の外部ドメインのライブラリを連鎖的に呼び出して動作していることも多く、どこに不正なコードが埋め込まれているのか検証することも極めて困難です」（坂本）…

続きは、DataSignブログで