F5 分散クラウド クライアントサイド防御により、PCI DSS v4.0.1 への対応を強化

近年、フォームジャッキングと Magecart 攻撃が、電子商取引とデジタル決済の分野における主な脅威として急増しています。 これらのクライアント側攻撃は、組織のサーバーに触れることなく、クレジットカード番号、ログイン資格情報、個人を特定できる情報 (PII) などの機密データをユーザーのブラウザから直接密かに抜き出します。 攻撃は、悪意のある JavaScript をサードパーティのスクリプトに挿入したり、フロントエンド コードに直接挿入したりすることで、従来の境界防御とサーバー側防御を回避します。

フォームジャッキングは、オンライン フォームに悪意のある JavaScript を挿入して、ブラウザー レベルでユーザー入力を取得します。 これは、サードパーティのスクリプトやコンテンツ配信ネットワーク (CDN) の脆弱性を悪用して実行されることが多く、サーバー側のセキュリティ ツールでは検出が困難です。

Magecart は、Web スキミングを専門とする一連のサイバー犯罪者グループの総称です。 これらのサイバー犯罪者グループは通常、チェックアウト時に支払いデータを盗む JavaScript コードを挿入することで、電子商取引サイトを侵害します。 盗まれたデータはその後、攻撃者が管理するドメインに持ち出され、難読化されたり、正当なリクエストのように見える形で隠されたりします。

どちらのタイプの攻撃も、共通のベクトルであるブラウザを共有しています。 そして、その成功は、クライアント側で実際に何が実行されているかについて組織がどれだけ可視性を持っていないかにかかっています。

PCI セキュリティ標準協議会は、ペイメントカード業界データ セキュリティ標準 (PCI DSS) v4.0.1のリリースにより、増大するクライアント側攻撃の脅威に直接対処しています。 PCI SSC は初めて、この新しい攻撃ベクトルに直接対処するために、2025 年 3 月 31 日に発効する 2 つのクライアント側要件を含めました。

要件6.4.3: 消費者のブラウザに読み込まれ実行されるすべての支払いページのスクリプトは、次のように管理されます。

• 各スクリプトが承認されていることを確認するメソッドが実装されています。
• 各スクリプトの整合性を保証するメソッドが実装されています。
•  すべてのスクリプトのインベントリは、それぞれのスクリプトが必要な理由を文書化したビジネス上または技術上の根拠とともに維持されます。

要件 11.6.1 – 変更および改ざん検出メカニズムは次のように展開されます。

• 消費者のブラウザが受信した支払いページの HTTP ヘッダーおよびスクリプト コンテンツに影響を及ぼすセキュリティに対する不正な変更 (侵害の兆候、変更、追加、削除を含む) について担当者に警告します。
• このメカニズムは、受信した HTTP ヘッダーと支払いページを評価するように構成されています。

これらの新しい規制は、クライアント側のスクリプトが PCI 攻撃対象領域の重要な部分となっているという基本的な真実を認識しています。 しかし、多くの組織にとって、特に JavaScript エコシステムの動的な性質とサードパーティのサービスへの依存を考慮すると、これらの要件を満たすことは運用上および技術上のハードルとなります。

従来の Webapplicationファイアウォール (WAF)、セキュリティ情報およびイベント管理ソリューション (SIEM)、エンドポイント ツールは、サーバーまたはネットワーク境界で動作します。 最終的な実行環境であるユーザーのブラウザに対する可視性が欠けています。 侵害されたタグ マネージャー、CDN、またはサードパーティのサプライ チェーン攻撃を通じて悪意のあるコードが挿入されると、サーバー側のツールでは侵害を完全に見逃してしまうことがよくあります。 F5分散クラウドクライアントサイド防御 介入する。

サーバー側のツールとは異なり、分散クラウド クライアント側防御はブラウザ自体で動作し、リアルタイムの監視、整合性の検証、悪意のある動作が発生した際の警告を提供します。 また、当社は最近このサービスを更新し、PCI DSS v4.0.1 要件 6.4.3 および 11.6.1 に記載されている脅威に対処することに特化したサービスになりました。

どのように役立つかは以下の通りです。

• スクリプトのインベントリと承認:  分散クラウドのクライアント側防御は、支払いページで実行されるすべてのスクリプト（ファーストパーティとサードパーティ）のインベントリを継続的に追跡し、維持します。 組織は、書面による正当な理由を添えてスクリプトの許可リストを作成し、新しいスクリプトや許可されていないスクリプトが出現した場合に警告を受け取ることができるため、6.4.3 への準拠を示すのに役立ちます。
• スクリプトの整合性検証:  分散クラウドのクライアント側防御は、Webapplicationのランタイムを計測して、特に新しいネットワーク要求や新しいデータ アクセスなど、予期しない潜在的に悪意のある動作を示す意味のある動作の変化を監視することで、スクリプトの整合性を検証します。
• · HTTP ヘッダー監視に影響するスクリプトとセキュリティ:  分散クラウドのクライアント側防御は、不正な変更がないか、スクリプトとセキュリティに影響を与える HTTP ヘッダーを定期的に検査し、変更が検出された場合は警告を発して、組織が 11.6.1 への準拠を示すのに役立ちます。
• 流出検出: 高度な脅威モデルは、データ流出の兆候を検出するために送信要求を監視します。 スクリプトがキャプチャしたフォーム データを疑わしいエンドポイントに送信しようとすると、アラートがトリガーされ、組織はネットワーク呼び出しとフォーム フィールドの読み取りをブロックするための直接的な緩和アクションを実行できます。
• エンタープライズ対応のアラートとレポート: セキュリティおよびコンプライアンス チームは、スクリプトの動作、ドメイン関係、ブラウザ側のデータ フローに関する豊富なテレメトリを取得できます。これは、PCI 監査証跡やフォレンジック調査に最適です。