オンラインスキミングの手口と対策

オンラインスキミングの手口と対策

2020年7月30日

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年7月16日 
  • タイトル:オンラインスキミングの手口と対策
  • 発表者:株式会社データサイン プロダクトマネージャー 坂本 一仁

ブラウザが呼び出す外部サーバーに侵入してコードを改変

身に覚えがないクレジットカード決済に気づいた利用者の問い合わせから、自社サイトからの情報漏洩が発覚。しかしサイトのサーバーには侵入や改竄の痕跡となるログは残っていない。専門家でも見抜くのが困難とされる「オンラインスキミング」というサイバー犯罪が広がりを見せています。その中で、フロントサイドに読み込まれるJavaScriptライブラリを用いる手口、および防御策について、データサインの坂本一仁が解説しました。

オンラインスキミング(または、ウェブスキミング)とは、例えばECサイトにあるクレジットカードカード情報などの入力フォームに利用者が書き込んでいるデータを密かに読み取り(スキミングし)、第三者のサーバーに送るという犯罪行為です。

「開発者ツールでソースコードをご覧になると、ECサイトなどのWebページには、様々な外部サーバーが提供するJavaScriptライブラリが多数呼び出されています。例えば、アドネットワークA社サーバーが提供する広告用JavaScriptを呼び出している場合、犯罪者はA社の外部サーバーに侵入し、JavaScriptライブラリを書き換え、利用者がフォームに書き込むセンシティブな情報を読み取って別のサーバーに送信するように仕込みます。攻撃が利用者側のブラウザ内で完結しているために、ECサイトを運営する企業側のサーバーには痕跡が残りません」(坂本)

この手法の知名度を高めたのが、2018年9月、英国の航空会社ブリティッシュ・エアウェイズ(BA)のサイトから顧客38万人分のクレジットカード情報が漏洩した事件です。あるサイバーセキュリティ企業が、インターネット上にあるサイトのソースコードを定期的にアーカイブしている社内ツールを事件後に調査した際、BA社のサイトに読み込まれていたJavaScriptのコードが変化していたことを突き止め、手口が明らかになったといわれています。ただ、最近ではわずかな痕跡すら消してしまう新手も現れているとの指摘もあり、脅威となっています。

複雑化するデジタル広告ネットワークがもたらす弊害

坂本は、オンラインスキミング横行の要因には、近年の広告配信ネットワークの複雑化があると指摘します。

「コードを改竄される外部のサーバーとして狙われやすいのが、多くのJavaScriptライブラリを用いるアドサーバーです。1つのJavaScriptタグから10以上の外部サービスが呼び出されていることも珍しくありません。それぞれのサービスがさらに別の外部ドメインのライブラリを連鎖的に呼び出して動作していることも多く、どこに不正なコードが埋め込まれているのか検証することも極めて困難です」(坂本)

データサインが実施した共同調査では、ある大手企業サイトのログイン画面では、50を超える外部サービスが呼び出されていたと言います。万一、そのいずれかに脆弱性があれば侵入・改竄のリスクが高まります。

「デジタル広告の複雑なネットワークは、パーソナルデータの収集や利用に関するプライバシーの問題だけでなく、こうしたセキュリティ上の問題を深刻化させています。複雑化がもたらした弊害と考えています」(坂本)

ただ、例に取り上げた外部サーバーを提供するアドネットワークA社は、カード情報を漏洩させた責任は問われないのでしょうか。

「外部ライブラリを呼び出すフロントサイドを設計開発したのは、あくまでECサイトを運営する企業です。自社で作ったページを手当てする管理者責任がまずは第一と考えらていれます」(坂本)

呼び出す外部サービスを棚卸し、さらに不正な通信をブロック

オンラインスキミングの対策として、坂本はまず「センシティブな情報を扱うページには、広告タグを含む外部のJavaScriptライブラリをなるべく書き加えない、発火(動作)させないようにする配慮が必要」と言います。

さらに、W3Cで規格化されたセキュリティ機構であるCSP(Content Security Policy)の有効性を指摘します。

「CSPはWebサイトからの通信を許すドメインを記したホワイトリストです。標準的な書式に基づいてmetaタグで設定する、HTTPヘッダーで指定する、などによりブラウザから信頼できる許可された外部サーバーのみに接続、または怪しいスクリプトを起動させないことで、不正なデータ送信をブロックできます」(坂本)

CSPはFacebookやGitHubなど海外大手IT企業のWebサイトでは一般に導入され、各社がそれを運用しています。しかし、日本の企業ではまだ導入例が少ないといいます。

「デジタルマーケティングで数多くの広告タグを導入している状況において、CSPで通信先を制御する場合、どのような通信をホワイトリストに登録すれば良いかの管理が困難になっていることが一因として考えられます」(坂本)

コロナ禍で増加しつつあるネット通販。皆さんもクレジットカード明細を確かめるなど、ご用心ください。

なお、データサインでは、サイトが利用する外部サービスの網羅的な調査から、動作させるタグの仕分け、意図しない通信を発生させないCSPの作成まで、ワンストップで支援しています。お気軽にご相談ください。

お問合せ