BLOG

早急な対応が必要:ブラウザベースの攻撃に対処する新たなPCI DSS v4.0要件の策定

Angel Grant サムネール
Angel Grant
Published January 03, 2023

オンライン小売業者とeコマース ベンダーの皆様へ:クライアント側のデータとオンライン決済をデジタル スキミングやMagecart攻撃から保護するための、新たなセキュリティ基準が策定されました。

Payment Card Industry(PCI)Security Standards Councilは2022年3月、販売業者がカード所有者に関するデータを保存、処理、送信する際に満たす必要のあるセキュリティ最小要件を規定した、データ セキュリティ基準の改訂版PCI DSS v4.0を発表しました。改訂後の要件には、オンライン商取引で消費者、企業、カード発行会社を保護することを目的として、安全で確実なオンライン取引を実現するための、多くの機能強化が盛り込まれています。

新しい要件は、ブラウザベースのサードパーティ製JavaScriptライブラリの監視と管理の必要性に重点を置いています。これらのライブラリは、決済処理用のiFrame、チャットボット、広告、ソーシャル共有ボタン、追跡スクリプトなど、設定なしで使える機能を提供するためにeコマースWebサイトに組み込まれています。こうしたJavaScriptライブラリは企業のWebサイト開発のスピードアップに貢献していますが、これらのスクリプトは認証情報やクレジット カード情報などのPIIを狙ったデジタル スキミングやMagecart攻撃によって簡単に侵害されるため、サイバー犯罪者への扉も大きく開くことになります。

これらのセキュリティ侵害は、情報を騙し取られた消費者にとって明らかに有害であることはもちろん、コンプライアンス違反、収益の損失、株価の下落、ソーシャル メディアでの批判的な評価、ブランド エクイティの低下につながるため、ビジネスにも悪影響を及ぼします。

新しいPCI DSS 4.0要件への準拠は、2025年までは義務ではありませんが、待つ必要はありません。これらの要件が対象とするタイプの攻撃は、今日すでに発生しています。今こそ、早急に対策を強化してビジネスの評判とお客様を攻撃や不正行為から保護すべき時です。

クライアント側の攻撃はどのような損失をもたらすのか

少し前まで、ビジネス向けWebアプリケーションは、オンプレミスのWebサーバーが提供するモノリシック コードとして構築されていました。一方、今日の最新のWebアプリケーションはこれと大きく異なり、その多くはサードパーティ製JavaScriptライブラリをつなぎ合わせて設計され、処理の多くはクライアント側、つまり消費者のブラウザで行われます。一般的なWebページの70%~80%はサードパーティ製ライブラリで構成されていると推定されており、これらのスクリプトの中には、さらに別のサードパーティ製スクリプト セットのコードが含まれているものもあります。こうしたコードの依存関係が長い鎖のように続いていると、企業は自社のWebサイトで実際に実行されているコードを十分に把握することも制御することもできません。

幾重にも続く依存関係の範囲と規模が原因で、組織が自社の環境で実行されているコードを適切に管理、追跡、保護するのに苦慮し、コードがいつ変更され、いつ悪用されたかを検出することさえできないことを攻撃者は知っています。こうした可視性の欠如は、サイバー犯罪者が悪意のあるスクリプトを正当なWebページやWebアプリケーションのコードに挿入して、ユーザー セッションを傍受し、改ざんし、乗っ取るために攻撃を開始する隙を与えてしまいます。そしてサイバー犯罪者は、個人データや決済情報のスキミング、Webサイトの操作と改ざん、偽のコンテンツの表示、新たなフォームの作成、正当なフォームの改ざんなどが可能になり、これらすべてが不正行為やアカウント乗っ取りの土台を築くために使われます。

PCI DSS v4.0の要件とは

改訂後の基準では、オンライン決済を行う企業にとってクライアント側のWebセキュリティの強化が不可欠であることが明確に示されています。この基準では、消費者のブラウザに読み込まれて実行されるすべての決済ページ スクリプトを包括的に管理することが義務付けられています。具体的には、新しい基準6.4.3では、eコマース ベンダーに対して以下の実装を求めています。

  • 各スクリプトが認可されたものであることを確認する方法
  • 各スクリプトの完全性を保証する方法
  • 各スクリプトが必要な理由が記載された全スクリプトの目録

新しい基準では、消費者のブラウザに読み込まれて実行されるすべての決済ページ スクリプトを管理するプロセスが定義されていることを確認するためのポリシーと手順を検証することが販売業者に義務付けられています。また、販売業者は担当者に聞き取り調査し、在庫記録とシステム構成を調べて、消費者のブラウザに読み込まれ実行されるすべての決済ページ スクリプトが、この要件で規定されているすべての要素に従って管理されていることを確認する必要もあります。

さらに、改訂後の基準の第11.6項では、決済ページの不正な変更を検知し、対処することも義務付けられています。これを行うには、消費者のブラウザが受信するHTTPヘッダーと決済ページのコンテンツに対する不正な変更を担当者に警告する、変更/改ざん検知メカニズムが必要です。構成設定の検査は、少なくとも7日に1回、または組織のリスク分析評価で定義された頻度で行う必要があります。

手動のソリューションや従来のソリューションでこれらの要件に準拠するにはコストがかかり、リソースも大量に消費します。決済フォームのスクリプトはクライアント側で実行され、販売業者はその動作をほとんど把握できないため、悪意のあるコードは検知を簡単に回避できてしまいます。また、決済処理システム、Cookie同意フォーム、チャットボット、広告トラッカーといったWebページの機能を操作する動的JavaScriptライブラリなどのサードパーティ製コードは頻繁に更新および変更され、販売業者が知らないうちに行われることも多いため、販売業者はこれらのコードをほとんど管理できません。

スクリプトが改ざんされていないことを確認するための完全性チェックを実行するサブリソース完全性(SRI)や、ブラウザによるスクリプトの読み込み元やデータの送信先を制限するコンテンツ セキュリティ ポリシー(CSP)などの既存の検知方法は、絶え間なく変化する今日のWebアプリケーションを保護するにはもはや十分ではありません。

PCI DSS v4.0に今すぐ準拠できるようお手伝いします

PCI DSS v4.0で求められているセキュリティ要件への準拠を2025年まで待つ必要はありません。ビジネスを攻撃から守り、不正行為やアカウント乗っ取りからお客様を守るために今すぐ行動しましょう。

F5 Distributed Cloud Client-Side Defenseなら、新しいPCI DSS v4.0要件に今すぐ対応できます。また、Webページの疑わしいコードの監視を自動化し、実用的なアラートを生成し、ワンクリックの緩和機能でデータ流出を即座に停止することで、Magecart、フォームジャッキング、デジタル スキミング、PIIハーベスティングなどの攻撃に対抗することができます。

消費者の信頼とブランドの評判を維持しながら、お客様のプライバシーを保護し、コンプライアンス違反からビジネスを守る方法の詳細については、ソリューション概要をお読みいただくか、製品デモをご覧ください