クライアント側の防御: ホリデーシーズンのセキュリティ対策に欠けているもの

オンラインでのホリデー ショッピング シーズンは順調に進んでおり、e コマース小売業者は堅調な消費者支出を予想しています。 リテール・インフォ・システムズのレポートによると、デロイトは、2022～2023年のホリデーシーズンの電子商取引の売上高が前年比12.8～14.3％増加し、総売上高は2,600億～2,640億ドルに達すると予測している。

これは、eコマース アプリでの膨大なアクティビティです。そして、そのすべてが、幸せなホリデー エルフが買い物リストをチェックしているからというわけではありません。

また、この時期は、サイバー脅威の攻撃者がオンラインでのホリデーショッピングの急増を利用しようと活動を強化する時期でもあります。

お近くのブラウザに近日登場: クライアント側のサイバー脅威

クライアント側のセキュリティ攻撃は非常に蔓延し、危険になっているため、OWASP はブラウザベースのセキュリティ脅威の新しいトップ 10 リストを作成しました。 これらには、フォームジャッキング、デジタルスキミング、Magecart、サードパーティの JavaScript ソースへの依存によってもたらされるその他のブラウザベースの JavaScript の脆弱性など、このホリデーシーズンに電子商取引サイトを脅かす多くのクライアント側のエクスプロイトが含まれます。

顧客体験を改善するために、動的 e コマース Web サイトでは、支払いフォーム、チャットボット、広告、ソーシャル共有ボタン、追跡スクリプトなどの一般的な機能を有効にするサードパーティ コードをアプリに埋め込みます。 これらの JavaScript 機能はすぐに使用できる機能を提供し、市場投入までの時間を短縮し、開発リソースを解放しますが、「シャドー コード」も生成します。シャドー コードとは、ユーザーが作成していない、制御できない、ユーザーが知らないうちに変更される、組織のセキュリティ レビューを通過しないコードです。 環境内で実行されるコードを可視化しなければ、企業はコードが変更されたり侵害されたりしたことを検知できません。 これらのスクリプトは、脅威の攻撃者に悪用できる広範な攻撃対象領域を提供し、ユーザーや販売者が気付かないうちに顧客のブラウザで直接セキュリティ インシデントが発生する可能性があります。

クライアント側攻撃の種類

クライアント側の攻撃は、ユーザー セッションを傍受して操作するために開始され、Web サイトの制御と改ざん、フィッシング攻撃の実行、偽のコンテンツの表示、新しいフォームの作成、ユーザーに社会保障番号や銀行口座情報の提供を求める正当なフォームの乗っ取り、またはユーザーのアカウントの乗っ取りを目的としています。 キャプチャされたデータは通常、攻撃者のコマンド アンド コントロール サーバーに送信されます。

サードパーティの JavaScript ファイルを悪用することを目的としたクライアント側攻撃には、いくつかの種類があります。

Magecart 攻撃はおそらく最もよく知られています。 Magecart は、フォームジャッキングやデジタルスキミング (e-スキミングとも呼ばれる) を含む、オンライン Web 支払いフォームから個人データ (最も一般的なのは顧客の詳細とクレジットカード情報) を盗む一連のソフトウェア サプライ チェーン攻撃を指す広義の用語です。 F5 Labsの2022年アプリケーション保護レポートによると、 「Expectation of Exfiltrate」では、フォームジャッキング攻撃が、侵害の発覚につながった Web エクスプロイトの大部分を占めていました。

犯罪者は通常、取得した顧客データを利用して、個人情報の盗難やアカウントの乗っ取りなどの悪質な行為を実行したり、単に情報を収集してパッケージ化し、ダーク ウェブでデータ ダンプとして販売したりします。

クライアント側攻撃を阻止するためのベストプラクティス

犯罪者が Web アプリケーションに悪意のあるコードを埋め込むことができる限り、クライアント側攻撃はオンライン組織にとって引き続き課題となります。また、買い物客とサイバーセキュリティ チームの両方がすでに他の多くの懸念事項に集中しているホリデー シーズンには、これらのエクスプロイトによる被害が特に大きくなる可能性があります。 こうした種類の攻撃を認識している企業がほとんどなく、こうした攻撃を検出して阻止するための適切な防御手段を講じている企業もほとんどないことを考えると、攻撃者は今後も成功を収め続けるでしょう。

ただし、クライアント側のリスクを軽減するために実装できるベスト プラクティスをいくつか紹介します。

• スクリプトインベントリ監査を実施します。 サイトに埋め込まれているすべてのスクリプトを一覧にして、誰が所有し、承認しているか、何に使用されているか、どのように保守されているかを特定します。 これには、ページの HTML に直接追加されたスクリプトと、タグ マネージャーを通じて追加されたスクリプトが含まれます。 実装しているサードパーティ コードが何を実行するのか、また機密データにアクセスしているのか、重要な機能を実行しているのかを把握します。 組織は、サイト上の JavaScript を可視化する必要があるだけでなく、欧州連合の GDPR やカリフォルニア州消費者プライバシー法 (CCPA) などのデータ プライバシー規制に違反するのを防ぎ、今後のPCI DSS 要件6.4.3 および 11 への準拠を保証するために、スクリプトが何を収集しているかを把握する必要もあります。
• サードパーティのリスク管理フレームワークを確立します。 各スクリプトの整合性を確保するために、スクリプトを追加、監視、および保守するためのガバナンス構造を確立します。 PII またはその他の機密情報の要求に新しいドメインへのデータ送信が含まれるかどうかを識別できるプロセスを作成します。
• ゼロトラストを適用します。 サイト上のすべてのスクリプトに対してゼロトラスト アプローチを採用します。 決して誰に対しても全面的な信頼を寄せてはいけません。 新しいスクリプトが追加されたとき、または既存のスクリプトが変更されたときに監視、検出、警告する機能を確立します。 サブリソース整合性 (SRI) やコンテンツ セキュリティ ポリシー (CSP) などの検出技術は依然として価値がありますが、今日の絶えず変化する Web アプリケーションを保護するにはもはや十分ではありません。 ゼロ トラストを適用した組織では、ゼロ トラストを使用していない組織よりもデータ侵害のコストが 20.5% 低くなりました。
• 迅速な緩和戦略を確立する。 悪意を持ってデータを流出させるネットワーク呼び出しをブロックするワンクリック緩和機能を備えたツールを使用して、インタラクティブなダッシュボードでスクリプトの変更とアラートを確認できる、シンプルなワンクリック緩和プロセスの作成方法を学びます。

結論： 今年のホリデーシーズンはクライアント側攻撃の脅威を見逃さないでください

休暇中に顧客があなたの電子商取引ウェブサイトのアカウントにログインすると、彼らは機密性の高い個人データをあなたに託すことになります。 電子商取引環境で実行されるサードパーティのスクリプトが害を及ぼさないようにするために必要な手順を実行します。

F5 Distributed Cloud Client-Side Defense は、Magecart、フォームジャッキング、その他のクライアント側サプライ チェーン攻撃から顧客の認証情報、財務詳細、個人情報を保護する監視および軽減ソリューションであり、クライアント側 JavaScript の悪用から会社と顧客を保護します。 この SaaS ベースのサービスは、迅速かつ簡単に導入でき、すぐに価値を提供し、顧客の個人情報や財務データを犯罪者の手に渡さず、消費者の信頼を損なうデータ損失から保護します。

詳細については、 「小売業者が Magecart 攻撃から自らを守る方法」のビデオをご覧になり、 F5 Distributed Cloud Client-Side Defense のデモをご覧ください。

侵害された JavaScript ソースによって、会社と顧客の休日が台無しにならないようにしてください。