アカマイ・テクノロジーズは6月11日、ユーザーのウェブブラウザー上で実行される不正なスクリプトを検知する「Page Integrity Manager」の提供を発表した。クレジットカード情報などの盗み出しを狙ったサイバー犯罪者グループMagecartが使用した攻撃手法として「Magecart型攻撃」として知られる手法に対応する検知手段となる。
まず概要を説明した職務執行者社長の山野修氏は、昨今の新型コロナウイルスの流行を受けた“巣ごもり”の影響として、同社が取り扱うインターネットトラフィック量が急増しており、「2020年3月に記録されたピークトラフィック量は167Tbpsに達し、前年同期の82Tbpsに対して2倍に増加している」と紹介した。
従来、インターネットトラフィックを大きく押し挙げる要因となっていたのはオリンピックやスーパーボウル、ワールドカップといった世界的に注目を集めるイベントのライブストリーミングだったが、現在は新型コロナの流行を受けて全世界で大規模イベントが中止されている状況にあるにも関わらずピークトラフィックが倍増している点が注目される。
もともとはCDN(コンテンツ配信ネットワーク)事業で知られる同社だが、同氏は「DDoS(分散型サービス妨害攻撃)対策、WAF(ウェブアプリケーションファイアウォール)、WAP(ウェブアプリケーションプロテクター)、ボット管理などのセキュリティビジネスが堅調で、国内事業の売り上げの半分以上が既にセキュリティビジネスからのものとなっている」と指摘。特にボット管理対策は第1四半期に前年同期比で5倍という急成長を遂げているという。その上で同氏は、ウェブスキミングを「デジタルシフトを妨げる最新の脅威」と位置づけ、有効な防御策が期待されていたとした。
続いてプロダクト・マーケティング・マネージャーの中西一博氏が製品の詳細を説明した。ウェブスキミング攻撃の特徴は、標的となるウェブサイトを直接狙うのではなく、標的サイトが内部で活用しているサードパーティー提供のJavaScriptなどを改ざんして有害コードをユーザーに実行させる点にある。
オンラインショッピングサイトなどのクレジットカード情報を扱うウェブサイトにおいても、サイト上の全てのコンテンツを自社で準備しているわけではない。広告やアクセス解析などの汎用的なサービスはウェブサイト運営者向けのサードパーティーのサービスとして外部から提供されるものを活用するのが一般的で、しかもこうした外部リソースは必ずしも自社のウェブサイトに読み込まれるわけではなく、ユーザーのウェブブラウザーに直接送られるのが一般的だ。
日本ではクレジットカード情報の漏えい対策として「非保持化」が推進され、クレジットカード認証をクレジットカード会社や決済代行サービス事業者のサイトに転送して実行する手法が普及し、ウェブサイト内にクレジットカード情報を保持しないことで「漏えいしようがない状態」を作ることで対策とするのが一般的だ。しかし、ウェブスキミングではユーザーのウェブブラウザーに直接有害コードを送り込み、ユーザーが入力した情報を盗聴する形になるため、ウェブサイト側でクレジットカード情報を保存しない形にしても被害を防ぐことはできない。
ウェブスキミングの典型的な攻撃手法。標的となるウェブサイトが利用している外部のサードパーティースクリプトを改ざんしてユーザーのウェブブラウザー上にニセの入力フォームを開き、入力内容を本来のウェブサイトと攻撃者のC&C(指揮統制)サーバーの両方に送信するなどの動作を行う。サードパーティースクリプトはユーザーのウェブブラウザーに直接読み込まれるため、標的ウェブサイト側の対策では防御できない
ウェブサイト側でWAFなどを活用して侵入/攻撃を防御しても、そもそも狙われるのは外部のサードパーティーサイトなのでこちらも被害抑制にはつながらない。さらに、セキュリティ上の不備があったのはサードパーティー側ということになるが、ウェブサイトでこうしたサービスを利用していてユーザーのクレジットカード情報が漏えいした場合、「サードパーティーの責任」というわけにもいかず、ユーザーに対応する責任は負うことになる。
こうした事情から、ウェブスキミングを効果的に抑止できる対策が特にウェブサイト運営者側から求められていた状況だという。さらに、搾取が狙われる情報は必ずしもクレジットカード情報に限定されず、ログイン情報なども攻撃対象となるため、対策すべきサイトは広範囲に及ぶことになる。
Page Integrity Managerの実体はユーザーのウェブブラウザー上で実行されるスクリプトコードで、同社のCDNサービスを利用しているウェブサーバーを対象に、本来のウェブサイトのコンテンツを配信する際にこれに添付する形でスクリプトも配信し、ユーザーのPC上で検知プロセスを実施する。
Page Integrity Managerの主な機能
※クリックすると拡大画像が見られます
最終的に有害コードが実行されるウェブブラウザー上で検知プロセスも実行される形になるので、サーバー側での検知が困難なウェブスキミング手法に対する有効な対策となる。検知には高度な「振る舞い検知テクノロジー」や「機械学習技術」なども活用されており、既存のMagecart型攻撃によりも一層検知が困難とされる進化型の「Pipka攻撃」の検出にも成功した実績があるという。
Page Integrity Managerは同社の正規パートナーを通じて提供を開始している。コストは基本的にCDNサービスと同様に「サイト数とトラフィック量」に基づいて算出されるが、目安として「同社のWAFサービスの半額程度」(中西氏)という。
Page Integrity Managerの検知によって脅威の可視化が可能になる
※クリックすると拡大画像が見られます
