Web スキミング攻撃を完全に防ぐことは不可能ですが、たとえば、Web サイトのスクリプトのふるまいを監視するサードパーティソリューションを採用する、コンテンツ・セキュリティ・ポリシーを適用する、ソフトウェアを常に最新の状態に維持する、Web アプリケーションファイアウォールを実装する、といった措置を講じることで攻撃のリスクを軽減できます。
サイバー犯罪から Web サイトを守る
私たちの生活においてインターネットが果たす役割はますます重要なものとなっています。それに伴い、サイバー犯罪者が機微な情報を盗む手口も巧妙化しています。Web スキミングはそのような手口の 1 つであり、 Magecart 攻撃とも呼ばれています。この種のサイバー犯罪では、Web サイトからクレジットカードやその他の機微な情報が盗まれますが、Web サイトの所有者やユーザーは盗まれたことに気づかない場合も少なくありません。この記事では、Web スキミングの定義と仕組みを明らかにするとともに、最も重要なこと、つまり、これらの攻撃から Web サイトを守る方法についても説明します。
Web スキミングとは
Web スキミングは、Magecart 攻撃とも呼ばれ、Web サイトから機微な情報を盗むサイバー攻撃の一種です。この攻撃では、Web サイトに悪性コードまたはマルウェアが置かれ、ユーザーがその Web サイトのフォームに入力すると、その情報がキャプチャされます。たとえば、クレジットカード番号、個人情報、ログイン認証情報などが盗まれる可能性があります。
Web スキミングの仕組み
Web スキミングは、Web サイトのコード内の脆弱性を悪用することで機能します。サイバー犯罪者は、多くの場合、古いソフトウェアや脆弱なソフトウェアを使用している e コマース Web サイトを探します。こうしたサイトを狙えば成功する可能性が高くなるからです。ターゲットにする Web サイトを特定したら、その Web サイトのコードベースに悪性のコードまたは JavaScript を注入しようと試みます。
Web スキミング攻撃で使用される悪性コードは、Web サイトの既存のコードと統合されるように設計されているため、簡単には検知できません。通常、このコードは、Web サイトのフォームに入力された情報をすべてキャプチャし、サイバー犯罪者のサーバーに送信します。これらの情報は、不正購入や、ユーザーの身元情報または支払い情報の窃盗など、サイバー犯罪者が不正行為を働くために悪用される可能性があります。
Akamai でサイトを保護する
Akamai Client-Side Protection & Compliance は、脆弱なリソースを特定し、疑わしいふるまいを検知して、悪性のアクティビティをブロックすることにより、Web スキミング、フォームジャッキング、Magecart 攻撃など、JavaScript の脅威から Web サイトを保護します。侵害された JavaScript のふるまいを検知することで、ユーザーデータの窃盗やユーザー体験の低下を最小限に抑えます。即座に実行可能な知見が得られるため、セキュリティチームは迅速にスクリプトベースの脅威を把握し、対処できます。
Client-Side Protection & Compliance は、ユーザーのブラウザーで稼働し、保護されたページで実行されるすべてのスクリプトを監視します。スクリプトのふるまいに変化があると、不正なアクションまたは不適切なアクションのリスクかどうかが機械学習テクニックによって評価されます。高リスクのイベントが発生すると、セキュリティチームはアラートとともにそのイベントに関する十分な情報を受け取ることができるため、緩和に関する意思決定を効果的に行うことができます。
Web スキミングから Web サイトを守るその他の方法
Web スキミングから Web サイトを守るためには、多層的なサイバーセキュリティアプローチが必要です。Magecart 攻撃から Web サイトを守るために役立つ手順をいくつかご紹介します。
- ソフトウェアを最新の状態に維持する:Web スキミング攻撃から Web サイトを守るためには、Web サイトのソフトウェアを常に最新の状態に保つことが不可欠です。これには、Web サイトのコンテンツ管理システム(CMS)やプラグインに加え、使用しているサードパーティ製のソフトウェアも含まれます。セキュリティパッチやアップデートは、入手可能になったらすぐに適用してください。
- 安全な接続を使用する:HTTPS などの安全な接続を使用することは、Web スキミングから Web サイトを守るために役立ちます。HTTPS は、ユーザーのブラウザーと Web サイトのサーバー間の接続を暗号化することで、サイバー犯罪者が機微な情報を傍受して盗むことを困難にします。
- Web アプリケーションファイアウォールを実装する:WAF は、サーバー側で悪性のトラフィックをブロックし、疑わしいふるまいを検知することで、Web スキミング攻撃から Web サイトを保護するのに役立ちます。
- Web サイトを定期的に監視する:疑わしいアクティビティを検知するために Web サイトを常に監視すれば、Web スキミング攻撃を早期に把握できる可能性があります。こうした監視には、Web サイトのコードベースでの不正な変更や、Web サイトのトラフィックに異常なパターンがないかといった監視があります。
よくある質問(FAQ)
はい。Web スキミング攻撃は、Web サイトのコードベースとトラフィックを監視して、疑わしいアクティビティがないか調べることで検知できます。
Web スキミング攻撃はますます一般的になっており、毎年何千もの Web サイトが犠牲となっています。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。