サーバーセキュリティでは防げないデータ侵害と対策

“サーバーセキュリティでは防げないデータ侵害”とは

従来、サーバーサイドのセキュリティ対策に取り組んでいる企業は数多くあります。しかし、昨今ではサーバーへの通信がなく、クライアントサイドからの情報漏洩の被害が増えております。背景として、デジタルマーケティングのためのWebサイトへのJavaScriptタグの挿入が増加しており、その動きに伴って3rdPartyのJavaScriptタグを悪用したデータ侵害手法が生み出されています。海外ではECサイトを中心に、新たな手法による個人情報の漏洩被害が深刻化しています。
JavaScriptタグを悪用したクライアントサイドのデータ侵害手法とその対策のポイントをご紹介します。セキュリティ対策の一環として、ぜひクライアントサイドのタグ悪用リスクにご注目ください。

サイトに多数のタグが埋め込まれているイメージ(これらは悪意のあるタグでは有りません)

JAVASCRIPTタグを悪用したデータ侵害手法の例

クライアントサイドのJavaScriptタグを悪用したデータ侵害手法として、「ピギーバッキング」「Webスキミング」の2つの攻撃手法をご紹介します。

ピギーバッキング

3rdPartyのJavaScriptタグ内に管理者が認識していない不正タグ(4thPartyタグ)をひっそりと配置して 発火させ、データを取得する/流出させる手法です。ピギーバッキングは、元々タグの中にタグを配置し、あるタグが発火する際に同時に発火させることで通信負荷を下げるなどの目的で使われてきた手法ですが、近年悪用化が進んでいます。

WEBスキミング

クライアントサイドに不正なJavaScriptタグを注入して個人情報を抜き取る手法です。中でも、サイバー犯罪 集団「Magecart」による「Magecart Attacks」の被害が、ECサイトの間で急増しています。

対策のポイント

ピギーバッキングやWebスキミングはアクセスログに攻撃者の通信記録が一切残らないため、問題が起こる前に攻撃を認知することができません。WAFなどの従来のサーバーサイドの対策では防げず、クライアントサイドに新たな対策を講じる必要があります。
問題が起こってからでは遅いため、不正タグを制御・検知・監視する仕組みを事前に導入することがポイントです。具体的な対策は以下の3つです。

対策ツールの紹介

セキュリティ対策ソリューション「Ensighten」は、“ページに一行コードを挿入するだけ”で、WebサイトのあらゆるJavaScriptタグの制御・検知・監視が実現でき、クライアントサイドへのセキュリティ攻撃を保護し、不正タグの侵入や個人情報漏洩を抑制します。

ENSIGHTENの導入実績

セキュリティ対策ソリューション「Ensighten」は、グローバル企業での採用実績が豊富で、航空会社、ホテル、金融系の業界に強みを持っています。

ENSIGHTENの紹介資料

以下のフォームにご記入後、「同意して申込む」をクリックしてください。
ご登録完了直後にご登録されたEメールに資料ダウンロード専用URLをお送り致します。
*印の項目は入力必須項目です。

「同意して申込む」をクリックすることによって、弊社のプライバシーポリシーに同意をしたものとさせていただきます。

Gmail、Hotmail、Yahoo!メールなどフリーメールでのダウンロードは受け付けておりません。

フォームが表示されない方は、お問い合わせください。
mkg@underworks.co.jp