“サーバーセキュリティでは防げないデータ侵害”とはJAVASCRIPTタグを悪用したデータ侵害手法の例ピギーバッキングWEBスキミング

対策のポイント対策ツールの紹介ENSIGHTENの導入実績ENSIGHTENの紹介資料

従来、サーバーサイドのセキュリティ対策に取り組んでいる企業は数多くあります。しかし、昨今ではサーバーへの通信がなく、クライアントサイドからの情報漏洩の被害が増えております。背景として、デジタルマーケティングのためのWebサイトへのJavaScriptタグの挿入が増加しており、その動きに伴って3rdPartyのJavaScriptタグを悪用したデータ侵害手法が生み出されています。海外ではECサイトを中心に、新たな手法による個人情報の漏洩被害が深刻化しています。

JavaScriptタグを悪用したクライアントサイドのデータ侵害手法とその対策のポイントをご紹介します。セキュリティ対策の一環として、ぜひクライアントサイドのタグ悪用リスクにご注目ください。

クライアントサイドのJavaScriptタグを悪用したデータ侵害手法として、「ピギーバッキング」「Webスキミング」の2つの攻撃手法をご紹介します。

ピギーバッキング

3rdPartyのJavaScriptタグ内に管理者が認識していない不正タグ（4thPartyタグ）をひっそりと配置して発火させ、データを取得する／流出させる手法です。ピギーバッキングは、元々タグの中にタグを配置し、あるタグが発火する際に同時に発火させることで通信負荷を下げるなどの目的で使われてきた手法ですが、近年悪用化が進んでいます。

WEBスキミング

クライアントサイドに不正なJavaScriptタグを注入して個人情報を抜き取る手法です。中でも、サイバー犯罪集団「Magecart」による「Magecart Attacks」の被害が、ECサイトの間で急増しています。

ピギーバッキングやWebスキミングはアクセスログに攻撃者の通信記録が一切残らないため、問題が起こる前に攻撃を認知することができません。WAFなどの従来のサーバーサイドの対策では防げず、クライアントサイドに新たな対策を講じる必要があります。

問題が起こってからでは遅いため、不正タグを制御・検知・監視する仕組みを事前に導入することがポイントです。具体的な対策は以下の3つです。

セキュリティ対策ソリューション「Ensighten」は、“ページに一行コードを挿入するだけ”で、WebサイトのあらゆるJavaScriptタグの制御・検知・監視が実現でき、クライアントサイドへのセキュリティ攻撃を保護し、不正タグの侵入や個人情報漏洩を抑制します。

セキュリティ対策ソリューション「Ensighten」は、グローバル企業での採用実績が豊富で、航空会社、ホテル、金融系の業界に強みを持っています。

フォームが表示されない方は、お問い合わせください。