Blog

Page Integrity Manager の概要

Written by

Kazuhiro Nakanishi

October 05, 2020

※ このBlog 記事は2020.7.13に執筆されたEric GrahamのBlog記事を翻訳した内容を元に作成しています。

Akamai は本年 5 月 26 日、セキュアなデジタル体験を提供する Akamai のソリューションを拡張する、Page Integrity Manager をリリースしました。ベータ版では、スクリプトの構成とふるまいを把握するために、1 兆以上の実際のユーザーインタラクションのモニタリングを実施しました。その結果、次のことが判明しました。実ユーザーのブラウザーにロードされるスクリプトは、極めて大きなアタックサーフェスとなっています。しかも、そのアタックサーフェスは継続的に進化しており、これらの脅威に静的なアプローチで対応するのは非常に困難です。

Akamai の Page Integrity Manager は、JavaScript の脅威(Magecart など)、Web スキミング攻撃、フォームジャッキング攻撃から Web サイトを保護するように設計されています。悪性と疑われるスクリプトのふるまいをリアルタイムで検知できるため、アプリケーションチームやセキュリティチームは十分な情報に基づいて判断し、迅速に対応できます。このアプローチは、ビジネスパートナーの選択肢を制限したり、リリース速度を遅らせたりすることなく、JavaScript の脅威に対応するための方法として非常に正確、効率的、有効であることが、ベータ版で証明されました。

Akamai は1 週間で、Page Integrity Manager により 、1 億 9,500 万件のページビューにおける 70 億以上の JavaScript 実行を分析しました。Detection Cloud により、スクリプトの疑わしい/悪性のふるまいが含まれる実ユーザーイベントを 1,649 万 8,385 件特定し、それを 64 の固有の攻撃インシデントに統合しました。各インシデントについて、詳細な観察内容と実行可能な攻撃緩和オプションを記載した通知が数秒以内に生成されました。

Page Integrity Manager は、実ユーザーがロードした JavaScript リソースを分析し、既知の脆弱性の有無を調べることにより、攻撃を検知するだけでなく防止します。  前述の 1 週間に、27 万 2,627 件の JavaScript リソースが実ユーザーによって実行されましたが、そこには既知の脆弱性が1,290 件含まれていました。この事実は多くのアプリケーションチームとセキュリティチームを驚かせる結果となりました。どのチームも何らかの脆弱性スキャン機能を導入していたためです。 

現在の Web のフロントエンドは複雑かつ非常に動的で、細かくパーソナル化およびターゲット化されています。多様なユーザー体験を提供するためには、実ユーザーに多数のリソースも提供しなければなりません。さらに、実ユーザーがロードするスクリプトの 75% 以上はサードパーティ製です。

サードパーティのスクリプトは、現在のユーザー体験やデジタルビジネス運営に不可欠です。また、広く普及しているため、攻撃範囲を最大化したい攻撃者の格好の標的となっています。

サードパーティリソースに伴うリスクは以前から知られていました。一般的な防御では、Web アプリケーションチームやセキュリティチームが、信頼できるソース(JavaScript ソースの許可リスト)を静的に定義します。このアプローチは、最新の状態に維持することが極めて困難であり、アプリケーションチーム、マーケティングチーム、セキュリティチームの連携も必須となるため、あまり採用されていません。ここ数年間、攻撃者はサードパーティスクリプトのプロバイダーを標的にすることで、プロバイダーの信頼を悪用して、セキュリティ防御を回避し、身を隠してきました。これは非常に頭の痛い問題です。これまで信頼していたプロバイダーを信頼できなくなるからです。

これを解決するためには、リアルタイムでふるまいを検証し、実ユーザーのインタラクションごとに信頼を判断する必要があります。問題を検知したら、脅威の発生元と発生先、影響を受けるユーザーの数、迅速に緩和するための推奨行動などを詳細に記載した通知を即座に送信するソリューションが必要です。

それが Page Integrity Manager です。悪性スクリプトやクライアント側の脅威を可視化し、十分な情報に基づいて、検知したリスクに対応するためのソリューションです。

詳細については、Page Integrity Managerの製品ページをご覧ください。

また、サードパーティコンテンツが貴社Webサイトに与えている影響とリスクを分析したPage Integrity Reportをご提供できます。こちらのページからリクエストください.



Written by

Kazuhiro Nakanishi

October 05, 2020