クレジットカード情報保護に関する国際的なコンプライアンス「PCI DSS」の新基準である、バージョン4.0に基づく監査が2024年4月から始まっている。Webセキュリティに関しては、Webスキミング対策の新要件だけでなく、WAFの設置義務化や、API特有の脆弱性に関する要件が明文化されるなど改訂要素も多く盛り込まれている。そこで今回は、PCI DSS v4.0と個人情報保護法のガイドラインの改訂内容から、WebスキミングとAPI攻撃に関する内容についてセキュリティ担当者が知るべきポイントを確認するとともに、それらのコンプライアンスに記載された対策を上回って進化を遂げている攻撃手法の驚くべき実態についても解説する。
クレジットカード不正利用被害の増加とPCI DSSの現在位置
最初に、クレジットカード番号の盗難被害について現状を確認してみよう。下図は、日本クレジット協会が発表した、国内発行のクレジットカードの番号盗用による被害額のデータをグラフ化したものだ。2023年を通した被害額は前年比で26%増加し、ついに500億円を超えた。
[画像クリックで拡大]
カード番号の盗用による被害は総被害額の93%を占めており、番号盗難の大部分はデジタル的な手段を用いたものと考えられている。実被害は、カード情報を盗用してサイトで不正な購買をされたEコマース事業者だけにとどまらない。大量のカード情報流出が発覚したサイト側でも、保証請求などの金銭的被害や被害後の対策強化などで、数億から10億円規模のコストが必要になるケースもあるという。
過去の記事で詳しく説明したように、一般的なWebスキミングでは、Webサイト自身や、サードパーティーが提供している流入経路分析などの便利な追加機能に含まれているJavaScriptを改ざんする手法が用いられる。これにより、サイトにアクセスしたユーザーのブラウザに悪性のスクリプトが読み込まれ、ブラウザ内で動作し、フォームに入力された情報などを抜き取る仕組みだ。Webスキミングのようなクライアントサイド攻撃は、Webセキュリティ対策として広く導入されているWAFなどのサーバーサイド防御の仕組みによる検知を回避できるため、攻撃者が頻繁に用いる手法となってきている。
このような背景から、PCI DSS v4.0では、Webスキミング対策を新要件として追加した。それが、下記に挙げる要件6.4.3および11.6.1だ。2023年4月からバージョン4.0の内容に基づいて監査が始まっているものの、技術的な問題などから対応に負荷がかかる一部の新要件については、「ベストプラクティス要件」として最長で2025年3月末日まで準拠が猶予される。
[画像クリックで拡大]
記載された要件の要旨は、「サイトにアクセスするブラウザに読み込まれるスクリプトがスキミングを行わないよう適切に管理すること」と、「ページ改ざんを検知するメカニズムを、決済にクレジットカードを用いるサイトの責任で実装すること」だ。これらの要件では、グッドプラクティスの一例として、CSP(Content-Security-Policy)という仕組みを挙げている。これは、HTTPレスポンスヘッダーを利用し、サーバーからブラウザにコンテンツの使用ポリシーを伝えることで、ページで読み込まれるスクリプトの改ざんを検証・制御する仕組みだ。
一方、カード情報保護に関わる主要な機関やコミュニティでは、このところCSPから一歩進んだWebスキミング対策の必要性について、認知を広める動きが活発になってきている。これは、スキミング攻撃がCSPによる単純なスクリプト改ざん防止対策を回避するよう進化しており、CSPを利用しているサイトでも被害が出る動きが顕著になっているからだ。
この記事は参考になりましたか?
- 中西一博のセキュリティレポート 変化するWeb攻撃 戦いの現場で何が?連載記事一覧
- この記事の著者
-
中西 一博(ナカニシ カズヒロ)
アカマイ・テクノロジーズ合同会社
マーケティング本部 プロダクトマーケティングマネージャー日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピュー...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
