SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Column

「PCI DSS 4.0」Webスキミング要件を読み解く、カード情報保護だけでない情報漏えい対策へ

【後編】最新の「PCI DSS」が示す、Webからの情報漏えい対策の世界水準とは?

 2022年3月にリリースされた、クレジットカード情報保護に関する国際的なコンプライアンス「PCI DSS」の最新バージョン 4.0では、Webサイトからのカード情報漏えい対策として、特にWebスキミングへの対策が遵守すべき要件として追加され強化された。世界と日本を取り巻くカード情報保護の動向について解説した前編に続き、後編ではPCI DSS 4.0でWebスキミングに関して更新された要件の内容を掘り下げたうえで、実被害を予防するための実践的な対策について解説していく。

「PCI DSS 4.0」のWebスキミング要件を読み解く

 PCI DSS 4.0では、「JavaScriptを用いたWebスキミングへの対策」として、要件6.4.3と要件11.6.1が追加された。本稿では、要件6.4.3にフォーカスして詳しく読み解いていく。

 要件6.4.3は、『消費者(サイト利用者)のブラウザに読み込まれ実行される、すべての決済ページスクリプトを管理すること』とされ、その目的は『消費者のブラウザでレンダリングされる決済ページに、未認可のコードが存在できない(ようにする)』と定義されている。前編で解説した実際のWebスキミングの仕組みとPCI DSSの用語集に照らし合わせると、これは、「決済ページ(と、消費者が認識しうるアカウントデータを入力するウェブベースのユーザーインタフェース)がブラウザに表示されたときに、想定外の動きをする未認可のコードがブラウザの中で動いていないように維持する仕組みを実装すること」を求めていると読み取れる。

PCI DSS 4.0要件 6.4.3の内容(抜粋)
PCI DSS 4.0要件 6.4.3の内容(抜粋)
[画像クリックで拡大]

 ここでセキュリティ担当者が陥りやすい穴がある。それは、「決済ページのコンテンツの中で読み込んでいるスクリプトのコードは常に確認しているから、問題ないだろう」という思い込みだ。

 実際の攻撃者は、サイトのホームページなど、利用者がサイト内をブラウズ中に通りそうな導線のどこかで、ブラウザに読み込ませる悪性のスクリプト(またはその一部)を仕掛けることが多い。読み込まれたスクリプトは一旦ブラウザの中で “潜伏” し、ページコンテンツに、「ショッピングカート」や「決済」に関連する文字が現れると、それまでブラウザの中で眠っていたプログラムが動き出して偽決済画面を表示したり、入力された文字を読み取ったりする。したがって、決済ページのコンテンツ内のコードだけを確認してもWebスキミングは防げない。さらに、セキュリティ監査などでの発見を避けるため、入力された文字を読みとる本体のコードを一定の条件が揃ってから外部サーバーから読み出し、その後自身を消去するものもある。このような攻撃の実態を踏まえれば、「サイト内のどこかで既に読み込まれ、利用者が決済に関わる行動を取った時点で動作しているスクリプトが想定外の動作をしないか管理する」仕組みが必要だと解釈すべきだろう。

クライアントサイドJavaScriptを悪用したWebスキミングの手口
クライアントサイドJavaScriptを悪用したWebスキミングの手口
[画像クリックで拡大]

 また、要件6.4.3の運用上の注意事項には、『この要件は事業者の環境(ファーストパーティー)からロードされたすべてのスクリプトと、サードパーティーおよび第4の(フォース)パーティーからロードされるスクリプトに適用される』とある。

 Webサイトで使われているスクリプトは、自身のサイト(ファーストパーティー)のスクリプトや、サイトが直接読み込みを指示しているサードパーティーサービスのスクリプトだけではない。そのサードパーティーのスクリプトにより、それ以外のサイトからブラウザに孫読み、ひ孫読み込みされている。この “スクリプトのサプライチェーン“ の末端に悪性のコードが潜んでいたとしても、Webスキミングは実行される。したがって、「予防するためにはサイトの管理者がすべてのコードを管理する必要がある」と注意事項で指摘しているわけだ。

 これらのスクリプトは、サイトの新機能の実装やサードパーティーの仕様変更などで、管理者が知らないうちに変更される可能性がある。また、悪意がなくとも必要のない情報を読み取っているなど、許容できない行為をしていないかという点にも目を光らせて、管理していく仕組みが必須となるだろう。

次のページ
ブラウザで“スクリプトの改ざん”を検知する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Column連載記事一覧

もっと読む

この記事の著者

中西 一博(ナカニシ カズヒロ)

アカマイ・テクノロジーズ合同会社
マーケティング本部 プロダクトマーケティングマネージャー日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピュー...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17323 2023/02/17 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング