Blog

無料でWebスキミングとMan-In-The-Browser攻撃を検知しませんか?

Written by

Kazuhiro Nakanishi

May 13, 2021

この度Akamaiでは、「Page Integrity Manager」の無料枠(Free Tier)トライアルプログラムの提供を開始しました。昨今、Webスキミングや、MITB(マン・イン・ザ・ブラウザ)といった、サイト利用者の情報を盗み取る「クライアントサイド攻撃」が、Webブラウザ内部で動く不正なJavaScriptによって引き起こされています。Page Integrity Managerは、これらの「これまで見えていなかったWeb攻撃」を可視化し防御することが可能となります。企業や組織のWebサイトは、サイト利用者の個人情報やサイト上でやり取りされる機密情報などの漏えいリスクを常に抱えた状態と言えます。ぜひこの機会に本プログラムをご利用ください。お申込みは下記のページよりお願いします。

Page Integrity Manager Free Tier お申込みページ

新型コロナウィルスの世界的なパンデミックが起きつつあった2020年3月に、Akamaiはインターネットトラフィックが前月比で30%増加していることを観測しました。これは通常の10倍(約1年分)の成長率に匹敵します。その後もトラフィックは全体的に高い水準を維持しており、世界的なデジタルシフトが裏付けられています。また、新型コロナウイルスの影響をうけ、小売、メディア、ヘルスケア、金融、旅行&ホテルの業界でも、商取引のインターネットの依存度が一層高くなると予想されます。

こうしたデジタル化に舵を切ったサービスやWebアプリケーションから情報を盗む手段として、いま最もサイバー攻撃者に狙われて弱点のひとつが、Webブラウザ内部、つまりクライアントサイドです。ブラウザでは、サイト利用者の決済情報、個人情報、サイトでの取引の内容、サイトへの問い合わせ内容などの機密情報が常時取り扱われています。攻撃者はこれらの情報をこっそりのぞき見れるよう作り込んだJavaScriptを、サイト上のページの配信とともに利用者のブラウザに送り込み、利用者が気が付かないうちに攻撃者は目的を達成します。

企業のホームページや商用サイトでは、決済処理やお問い合わせフォームなど機能を実装するものからアクセス分析をするものまで様々なJavaScriptが利用されています。管理の行き届かないファーストパーティー(サイト内に置かれた)スクリプトや、多くのサイトでも使われているようなサードパーティーのスクリプトを改ざんして、悪意のあるコードを仕込んで情報を窃取する攻撃が、コンテンツを読み込んだサイト利用者のWebブラウザの中で行われています。このようなクライアントサイドのJavaScriptに起因する新たなリスクを、従来型の WAF (Web Application Firewall)やコンテンツ管理など、サーバー側の保護の仕組みだけで継続的に監視するのは極めて困難になってきています。

サイトの利用者が、入力フォームで打ち込むクレジットカード情報の漏えいはこの種の攻撃の典型的な被害例ですが、漏えいしたカード情報が不正購買に利用されたときに、カード会社がある程度気付くことのできるクレジットカード被害と違い、サイトでやり取りされているそれ以外の多くの個人情報や機密情報は、外部から漏えいを報告されることも少なく、サイト管理者がまったく気づかないうちに、すでに窃盗されている恐れがあります。盗難の可能性がある情報には次のようなものがあります。

  • クレジットカードなどの決済に関連する情報
  • ID、パスワードなどのクレデンシャル(認証・認可)情報
  • サイトに登録された、利用者の連絡先、商品配送先、生年月日、年収、病歴などの個人情報(フォームに入力された情報のほか、確認画面などで表示される情報も窃取の対象になり得ます)
  • 購買などの行動履歴、取引先情報(高度なフィッシング、なりすましメールに二次利用しやすい情報)
  • ホームページに設置された企業への問い合わせフォームに入力された情報、など

Akamaiの「Page Integrity Manager」は、このようなWebブラウザ内(クライアントサイド)で起きる盗難攻撃(MITB:マン・イン・ザ・ブラウザ攻撃)や、Webスキミング、フォームジャッキングといった攻撃から個人情報や機密情報の漏えいを防止するために開発されたソリューションです。Webブラウザ内部で動作するスクリプトの脆弱性、情報を読み取るなどのスクリプトの怪しいふるまいや、C&Cサーバーなどのリスクのある外部ノードと通信しようとするスクリプトの動きを検知し、サイトの管理者に警告し、コードの実行を阻止できます。これらのすべての処理はバックグラウンドで行われるため、サイトの利用者が意識したり、ストレスを感じることはありません。

2021年3月時点で、Page Integrity Manager は1日に35億を超えるスクリプト実行を分析し、月17 億を超えるページビューを保護しています。エンドユーザーのブラウザ内での疑わしい挙動は、週に 4,000 万件ほど確認されています。これらのふるまいをリアルタイムに攻撃を検知し、即時の緩和ポリシーの自動作成が行われています。実際のお客様で攻撃を検知した例はこちらをご参照ください。

我々Akamaiは、重要な顧客を抱えるすべての企業や組織に、クライアントサイドを効果的に保護するソリューションが必要であると考えています。この強い信念に基づき、この度Akamaiでは、このようなWebサイトを運用するお客様に、Page Integrity Manager の全機能を無料、無期限に利用できるトライアルプログラムを用意しました。

すでにAkamaiをご利用中のお客様、新規のお客様どちらでもお申込みいただけます。サービスの実装はお客様のセルフサービスで実施して頂けるようドキュメントをご用意しています。本プログラムの提供条件は以下の通りです。

  • 月額料金は無料(通常 Page Integrity Manager は使用量ベースの支払い)
  • 以下を含む便利な機能を豊富にご用意
    • 疑わしいふるまいにリスクスコアを割り当ててリアルタイムでアラート
    • 詳細な根本原因の分析とワンボタンでの緩和
    • スクリプトの脆弱性の検知と分析
    • 緩和ポリシーの自動作成
  • 月あたり最大100万件のスクリプト実行(ビーコン)を分析
  • セルフサインアップ、オンボーディング、運用のためのガイドを用意(自動翻訳付き)

処理ビーコン数のスケールアップの必要が生じた場合は、有料の製品版に簡単に移行して、Akamaiのエンジニアによる高度な技術サポートをご利用いただくこともできます。

詳細やご登録については、以下のお申込みページをご利用ください。

Page Integrity Manager Free Tier お申込みページ

貴社のサービスやWebサイトとそのご利用者のために、現在行われている攻撃に対して、Web アプリケーションをより適切に保護する取り組みを直ちに開始頂けます。



Written by

Kazuhiro Nakanishi

May 13, 2021