SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

中西一博のセキュリティレポート 変化するWeb攻撃 戦いの現場で何が?

PCI DSS新基準v4.0での監査開始──WebスキミングとAPI攻撃に関する要件・最新攻撃の実態

 クレジットカード情報保護に関する国際的なコンプライアンス「PCI DSS」の新基準である、バージョン4.0に基づく監査が2024年4月から始まっている。Webセキュリティに関しては、Webスキミング対策の新要件だけでなく、WAFの設置義務化や、API特有の脆弱性に関する要件が明文化されるなど改訂要素も多く盛り込まれている。そこで今回は、PCI DSS v4.0と個人情報保護法のガイドラインの改訂内容から、WebスキミングとAPI攻撃に関する内容についてセキュリティ担当者が知るべきポイントを確認するとともに、それらのコンプライアンスに記載された対策を上回って進化を遂げている攻撃手法の驚くべき実態についても解説する。

クレジットカード不正利用被害の増加とPCI DSSの現在位置

 最初に、クレジットカード番号の盗難被害について現状を確認してみよう。下図は、日本クレジット協会が発表した、国内発行のクレジットカードの番号盗用による被害額のデータをグラフ化したものだ。2023年を通した被害額は前年比で26%増加し、ついに500億円を超えた。

クレジットカード番号盗用被害額の推移(2014年〜2023年)
クレジットカード番号盗用被害額の推移(2014年〜2023年)
[画像クリックで拡大]

 カード番号の盗用による被害は総被害額の93%を占めており、番号盗難の大部分はデジタル的な手段を用いたものと考えられている。実被害は、カード情報を盗用してサイトで不正な購買をされたEコマース事業者だけにとどまらない。大量のカード情報流出が発覚したサイト側でも、保証請求などの金銭的被害や被害後の対策強化などで、数億から10億円規模のコストが必要になるケースもあるという。

 過去の記事で詳しく説明したように、一般的なWebスキミングでは、Webサイト自身や、サードパーティーが提供している流入経路分析などの便利な追加機能に含まれているJavaScriptを改ざんする手法が用いられる。これにより、サイトにアクセスしたユーザーのブラウザに悪性のスクリプトが読み込まれ、ブラウザ内で動作し、フォームに入力された情報などを抜き取る仕組みだ。Webスキミングのようなクライアントサイド攻撃は、Webセキュリティ対策として広く導入されているWAFなどのサーバーサイド防御の仕組みによる検知を回避できるため、攻撃者が頻繁に用いる手法となってきている。

 このような背景から、PCI DSS v4.0では、Webスキミング対策を新要件として追加した。それが、下記に挙げる要件6.4.3および11.6.1だ。2023年4月からバージョン4.0の内容に基づいて監査が始まっているものの、技術的な問題などから対応に負荷がかかる一部の新要件については、「ベストプラクティス要件」として最長で2025年3月末日まで準拠が猶予される。

PCI DSS v4.0 要件6.4.3および11.6.1の概要と適用上の注意点(抜粋)
PCI DSS v4.0 追加要件6.4.3および11.6.1の概要と適用上の注意点(抜粋)
[画像クリックで拡大]

 記載された要件の要旨は、「サイトにアクセスするブラウザに読み込まれるスクリプトがスキミングを行わないよう適切に管理すること」と、「ページ改ざんを検知するメカニズムを、決済にクレジットカードを用いるサイトの責任で実装すること」だ。これらの要件では、グッドプラクティスの一例として、CSP(Content-Security-Policy)という仕組みを挙げている。これは、HTTPレスポンスヘッダーを利用し、サーバーからブラウザにコンテンツの使用ポリシーを伝えることで、ページで読み込まれるスクリプトの改ざんを検証・制御する仕組みだ。

 一方、カード情報保護に関わる主要な機関やコミュニティでは、このところCSPから一歩進んだWebスキミング対策の必要性について、認知を広める動きが活発になってきている。これは、スキミング攻撃がCSPによる単純なスクリプト改ざん防止対策を回避するよう進化しており、CSPを利用しているサイトでも被害が出る動きが顕著になっているからだ。

次のページ
実際のWebスキマーはCSPによる“対策の落とし穴”を突く

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
中西一博のセキュリティレポート 変化するWeb攻撃 戦いの現場で何が?連載記事一覧

もっと読む

この記事の著者

中西 一博(ナカニシ カズヒロ)

アカマイ・テクノロジーズ合同会社
マーケティング本部 プロダクトマーケティングマネージャー日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピュー...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19668 2024/05/22 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング