Akamai TechWeek 2020 Japan2020.6.23 Tue. 26Fri.

最新技術動向とその詳細ーエッジ・クラウド・インターネットー

開催レポート

クレジットカード情報が狙われているWebスキミングから顧客を守るにはブロードメディア株式会社技術サービス本部 技術部長詫間 俊平 氏

新型コロナウイルスの蔓延にともなって、Webサービスの需要が伸びています。これに呼応するようにサイバー攻撃も増加しており、特に利用者の増えるECサイトを狙ってクレジットカード情報を窃取する

「Webスキミング」には注意が必要です。ブロードメディア 技術サービス本部 技術部長の詫間俊平氏は、Webスキミングが危険な理由と、顧客／サービスを守る手法について解説しました。

気づけない・守れない3rdPartyScriptを悪用するWebスキミング　新型コロナウイルスの蔓延によって日々の行動が制限されたことにより、ECサイトを活用するユーザーが増えています。サイバー犯罪者はこれを機会と捉えて、積極的に「Webスキミング」攻撃を仕掛けてクレジットカード情報を窃取しています。　「近年は、PCI DSSに準拠して自社でクレジットカード情報を保持しないECサイトが増えていますが、攻撃者は、決済代行事業者のふりをした偽サイトへ誘導して情報を入力させます。しかも、情報を盗んだらエラーを表示して正しいページへリダイレクトし、正常に決済を完了させるのです。そのため、ユーザーもECサイト運営者も、Webスキミング攻撃に気づかないのです」と、詫間氏は注意を促します。　攻撃者はWebスキミング攻撃を仕掛ける際、ECサイトが利用しているサードパーティの広告サービスやアクセス解析サービスなどを介して、攻撃用のJavaScriptを組み込みます。攻撃は顧客のWebブラウザと攻撃者のインフラに閉じているため、ECサイト側では検知することができません。詫間氏によれば、一般的なWebサイトに組み込まれているサードパーティの“外部JavaScript”は非常に多く、この運用管理は困難で、攻撃者に狙われやすいとのことです。

Akamai Page Integrity Managerと各種サービスの連携で顧客を守る

JavaScriptの悪用を防ぐ技術として、「Content-Security-Policy」や「Subresource Integrity」などがあげられますが、いずれもスクリプトを更新するたびに継続的に適用していく必要があり、運用は困難です。 　「そこで注目したいのがアカマイの『Page Integrity Manager』です。JavaScriptに潜むぜい弱性と悪意のある動作をWebブラウザ内で検知する機能です。Webスキミングには特に有効で、多様なフォームジャッキングによる認証と個人特定情報の摂取を防止することができます。単体でもよいのですが、mPulseやその他のセキュリティ機能と組み合わせることで、いっそう強固に顧客を保護できるようになるでしょう」（詫間氏）　編集者がCMSからエリアを決めて配信すると、あるときは米国・フランスの両サイトに、あるときはフランスのサイトのみにニュースが配信される様子が見られました。Akamai IoT Edge Connectを利用すれば簡単にM:Nの配信が可能となり、またサーバー側に特別な開発を必要としないため、岡本はデモサイトをたった1日で構築できたとのことです。

困難で、攻撃者に狙われやすいとのことです。