クライアントサイド攻撃の静かなる脅威
より多くの取引がオンラインで行われるようになる中、Webサイトには、お客様の機密データを盗み出そうとする脅威が潜んでいます。Magecart、フォームジャック、オンラインスキミングなどのクライアントサイド攻撃として知られ、急速に進化しているこうした脅威は、オンライン決済を受け付けるWebサイト上で顧客のデータやクレジットカード情報をひっそりと取得することが可能です。これは潜在的なリスクであり、WebサイトやWebアプリケーションの防御を検討する際に、企業が優先的に取り組むべき課題です。
PCI DSSの変更: クライアントサイドの攻撃を狙う
最近のPCI DSSの変更は、クライアントサイドの攻撃に対処することを目的としたもので、オンライン決済を受理または処理する事業者の負担を増加させるものでした。現時点では、この変更はベストプラクティスとみなされており、2年以内に監査に合格し、準拠を維持することが義務化される予定です。
Impervaクライアントサイドプロテクション: セキュリティとコンプライアンスの強化
この投稿では、決済ページのスクリプト管理に関連するPCI DSSの変更について簡単に説明するとともに、Imperva Client-Side Protectionの新機能と今後の予定について紹介します。これらの新機能は、最新のPCI DSS要件への準拠を維持するプロセスを簡素化し、組織のセキュリティ体制の強化を支援します。
クライアントサイド攻撃とその影響を理解する
PCI DSS の変更点を考察する前に、クライアントサイド攻撃の仕組みを理解することが重要です。クライアントサイド攻撃は、感染した JavaScript を介して悪意のあるコードを注入することで、Web サイトのビジネスロジックの脆弱性を悪用します。悪意のあるコードは、Magecart、フォームジャック、またはオンラインスキミングとして知られる攻撃で、オンライントランザクション中にユーザデータを取得するために最も一般的に使用されます。機密データを流出させるこの攻撃は、基本的にクライアントサイドで発生するセキュリティ侵害であることに注意することが重要です。
悪名高いMagecartのようなクライアントサイド攻撃に関連するリスクを管理することは、往々にして手ごわい課題です。その主な理由は、サードパーティ・サービスの普及です。今日、ほとんどのWebサイトは、分析、広告、カスタマーサポートなどの機能のために様々なサードパーティ・サービスを利用しています。これらのサービスは多くの利点を提供する一方で、新たな脆弱性ももたらします。各サードパーティ・サービスは、攻撃者にとって潜在的な侵入口となります。Webサイトが使用するサービスが多ければ多いほど、攻撃対象は大きくなります。
しかし、本当の問題は、このようなサードパーティ・サービスは、通常、開発サイクルに参加しないため、セキュリティチームには見通せないことが多いという事実にあります。このため、アプリケーションで使用されているすべてのサードパーティ・サービスの棚卸しを行うことは、組織にとって非常に困難な作業となり、その結果、サードパーティ・サービスは盲点となってしまうのです。
Webサイトのソフトウェアサプライチェーンの脆弱性を悪用するクライアントサイド攻撃の種類は、非常に多岐に渡り、さらに複雑さが増してしまっています。広く使用されているJavaScriptパッケージを1つ攻撃することで、攻撃者は同じ脆弱性を悪用し、複数のサイトの複数のユーザーを攻撃することができます。広く使われている単一のパッケージを標的にすることで、攻撃者は世界中の何千ものサイトに同時にアクセスできるようになります。
前述のような課題があるため、クライアントサイド攻撃の検知は極めて困難であると言わざるを得ません。その隠密性から、こうした攻撃は往々にして長期間にわたって発覚せず、結果として大規模な量のデータ漏洩につながってしまいます。その結果、影響を受けた組織は風評被害を受け、深刻な財務的影響を受けることになります。そのため、PCI DSS は最近、クライアントサイド攻撃のリスクを認め、スクリプト管理に直接関連する新しいセクションを追加しました。
PCI 6.4.3を深堀する
以前のこのトピックに関するブログ記事で詳しく説明したように、PCI DSS6.4.3 は、消費者のブラウザに読み込まれて実行されるスクリプトの管理に重点を置いています。この要件は主に 3 つの要素で構成されています。
- すべてのスクリプトの目録を保持し、各スクリプトが必要な理由を明確にする
- 各スクリプトが許可されていることを検証する方法を導入する
- 各スクリプトの完全性を保証する方法を導入する
これらのコンポーネントに対処することで、企業はクライアントサイドの攻撃から Web アプリケーションを保護し、PCI DSS 4.0 への準拠を維持することができます。
前述の変更は2025年3月31日までベストプラクティスとされていますが、この脅威が高まっていることから、スクリプト管理ソリューションはセキュリティ態勢を強化する上で最も重要なものとなっています。プロアクティブなアプローチを取ることで、組織は顧客の機密情報を保護し、GDPR、CCPA、LGPDなどのデータプライバシー規制の不遵守のリスクなど、データ侵害のリスクと影響を回避することができます。
Impervaクライアントサイドプロテクション: PCI DSS 4.0準拠の合理化
Imperva Client-Side Protection (CSP)は、オンライン決済ページのスクリプト管理における最新の前提条件に効果的に対応することを目的として、機能強化されました。これらの機能強化は、コンプライアンス維持プロセスを大幅に合理化し、企業が規制基準を満たすことを可能にします。これらの機能により、お客様は下記のことが可能になります。
- 継続的な検出と監視により、サードパーティのスクリプトを可視化する。これにより、お客様はすべてのスクリプトの目録を管理し、スクリプトの承認とブロックを行うことが可能になる
- 機密性の高い顧客データが入力されるクリティカルパスで実行されているスクリプトを把握する
- スクリプトが変更されたときの可視性を提供する。これにより、スクリプトのコンテンツを再検証する必要があるかどうか、また、そのスクリプトをWebサイトで実行し続けるべきかどうかを判断できるようにする
- ソフトウェアのサプライチェーンを通じて組み込まれたスクリプトを可視化する。これにより、Web アプリケーションにアクセスできる継承されたスクリプトが悪意を持ってデータをかすめ取っていないかどうかを検証できる
- スクリプトの動作を明確に理解する。新しいAI Explain機能は、スクリプトのコードを読まなくても、各スクリプトが何をしているかを理解するための迅速な方法を提供する
- Webサイト上で実行させたい特定のスクリプトを承認する
今後予定されている機能:
- クライアントサイドの一部であるファーストパーティスクリプトとインラインスクリプトを可視化する。これにより、どのスクリプトがデータを外部に漏えいさせているかを可視化できる
- クライアントサイドの呼び出しチェーンを可視化することで、ファーストパーティスクリプトやサードパーティスクリプトが他のスクリプトを呼び出しているかどうかを把握できる。これにより、ソフトウェアサプライチェーンにおける感染したスクリプトに起因するMagecart攻撃のリスクを軽減することが可能になる
これらの新機能により、Imperva Client-Side Protectionをご利用のお客様は要件6.4.3の各要素に効果的に対処することができ、コンプライアンスの管理が容易になります。これは、包括的なスクリプト目録、認可、動的整合性検証、決済ページ上のすべてのコードのリアルタイム監視を提供することで実現されます。
Imperva Client-Side Protectionについて
Imperva Client-Side Protectionは、Webサイトのサプライチェーンの脆弱性を悪用することが多いフォームジャック、Magecart、その他のオンラインスキミング手法などのクライアントサイド攻撃によるデータ盗難を防止します。顧客の最も機密性の高いデータが悪意のある者の手に渡り、壊滅的でコストのかかるデータ漏洩につながるリスクを軽減します。実行可能な見解と簡単な制御を備えた明確な可視性を提供することで、セキュリティチームは各サービスの性質を簡単に判断し、承認されていないものをブロックできるようになります。Client-Side Protectionは、PCI DSSの最新版を含む最新のコンプライアンス基準を満たすことができます。
Impervaを無料でトライ
Impervaで30日間、あなたのビジネスを守る。
