ブログ

今すぐ行動しましょう: 新しい PCI DSS v4.0 要件はブラウザベースの攻撃に対処します

エンジェル・グラント サムネイル
エンジェル・グラント
2023年1月3日公開

オンライン小売業者および電子商取引ベンダーの皆様へ: デジタルスキミングや Magecart 攻撃からクライアント側のデータとオンライン支払いを保護することに関しては、新しい保安官が登場しました。

2022 年 3 月、Payment Card Industry (PCI) Security Standards Council は、データ セキュリティ標準の改訂版である PCI DSS v4.0 をリリースしました。これは、加盟店がカード所有者データを保存、処理、送信する際に満たす必要のある最低限のセキュリティ要件を規定したものです。 改訂された要件には、オンライン商取引中に消費者、企業、カード発行会社を保護するために、安全でセキュリティの高いオンライン取引を保証するための多くの機能強化が含まれています。

新しい要件は、支払い処理 iFrame、チャットボット、広告、ソーシャル共有ボタン、追跡スクリプトなどのすぐに使用できる機能を提供するために、e コマース Web サイトに組み込まれているブラウザベースのサードパーティ JavaScript ライブラリを監視および管理する必要性に重点を置いています。 これらの JavaScript ライブラリは、企業の Web サイト開発のスピードアップに役立ちますが、デジタル スキミングや Magecart 攻撃によってスクリプトが簡単に侵害され、認証情報、クレジットカード情報、その他の個人情報が盗まれる可能性があるため、サイバー犯罪者にとっての脅威の大きな原因にもなります。

こうした違反は、詐欺の被害を受けた消費者にとって明らかに有害であるだけでなく、コンプライアンス違反、収益の損失、株価の下落、ソーシャル メディアでの敵対的なレビュー、ブランド エクイティの毀損につながる可能性があるため、ビジネスにとっても悪影響を及ぼします。   

新しい PCI DSS 4.0 要件への準拠は 2025 年まで義務付けられていませんが、お待ちいただく必要はありません。 要件が対処している攻撃の種類は、現在発生しています。 今こそ、強化された保護をできるだけ早く施行して、ビジネスの評判と顧客を攻撃や詐欺から保護するときです。

クライアント側攻撃の危険性は何ですか?

つい最近まで、商用 Web アプリケーションは、オンプレミスの Web サーバーから提供されるモノリシックなコードとして構築されていました。 しかし、今日の最新の Web アプリケーションは大きく異なり、多くの場合、サードパーティの JavaScript ライブラリを組み合わせて設計されており、処理の多くは消費者のブラウザー内のクライアント側で実行されます。 一般的な Web ページの 70% ~ 80% はサードパーティのライブラリで構成されており、それらのスクリプトの一部には別のサードパーティ スクリプト セットのコードが含まれていると推定されています。 この長いコード依存関係のチェーンは、企業が自社の Web サイトで実際に実行されているコードをあまり把握したり制御したりできないことを意味します。

脅威の攻撃者は、これらの nth パーティ依存関係の範囲と規模が原因で、組織が環境内で実行されるコードを適切に管理、追跡、保護することが困難であり、コードが変更されたり悪用されたりしたことを検出することさえできないことに気づいています。 この可視性の欠如により、サイバー犯罪者が正当な Web ページまたは Web アプリケーション コードに悪意のあるスクリプトを挿入し、ユーザー セッションを傍受、操作、乗っ取る攻撃を開始する余地が生まれます。 その後、個人情報や支払い情報を盗み取ったり、ウェブサイトを乗っ取って改ざんしたり、偽のコンテンツを表示したり、新しいフォームを作成したり、正当なフォームを変更したりすることが可能になり、詐欺やアカウント乗っ取りの基盤が築かれる可能性があります。

PCI DSS v4.0の要件

改訂された標準では、オンライン支払いを受け入れるあらゆる企業にとって、クライアント側の Web セキュリティの強化が重要であることが明確に示されています。 この標準では、消費者のブラウザに読み込まれ実行されるすべての支払いページ スクリプトに包括的な管理が必要であることが義務付けられています。 具体的には、新しい標準 6.4.3 では、電子商取引ベンダーに次の実装を要求しています。

  • 各スクリプトが承認されていることを確認する方法
  • 各スクリプトの整合性を保証する方法
  • すべてのスクリプトの一覧と、それぞれが必要な理由を文書化した説明

新しい標準では、販売者がポリシーと手順を調べて、消費者のブラウザに読み込まれ実行されるすべての支払いページ スクリプトを管理するためのプロセスが定義されていることを確認することが求められています。 また、責任者にインタビューし、在庫記録とシステム構成を調査して、消費者のブラウザに読み込まれ実行されるすべての支払いページ スクリプトが、この要件で指定されたすべての要素に従って管理されていることを確認する必要があります。

さらに、改訂された規格のセクション 11.6 では、支払いページでの不正な変更を検出し、対応する必要がありました。 これには、消費者のブラウザで受信される HTTP ヘッダーおよび支払いページの内容に対する不正な変更を担当者に警告する変更および改ざん検出メカニズムが必要です。 構成設定は、少なくとも 7 日ごとに 1 回、または組織のリスク分析評価で定義された頻度で検査する必要があります。

手動または従来のソリューションでこれらの要件に準拠するには、コストがかかり、多くのリソースが必要になります。 支払いフォームのスクリプトはクライアント側で実行されるため、販売者はその動作をほとんど把握できず、悪意のあるコードが検出を逃れやすくなります。 さらに、支払いプロセッサ、Cookie 同意フォーム、チャットボット、広告トラッカーなどの Web ページ機能を操作する動的 JavaScript ライブラリなどのサードパーティ コードは、販売者が知らないうちに頻繁に更新および変更されるため、販売者はこれらのコードをほとんど制御できません。

スクリプトが改ざんされていないことを確認するための整合性チェックを実行するサブリソース整合性 (SRI) や、ブラウザーがスクリプトをロードしてデータを送信できる場所を制限するコンテンツ セキュリティ ポリシー (CSP) などの既存の検出技術は、今日の絶えず変化する Web アプリケーションを保護するにはもはや不十分です。

できるだけ早く PCI DSS v4.0 に準拠できるようビジネスを支援します

PCI DSS v4.0 で要求されるセキュリティ要件に準拠するために 2025 年まで待つ必要はありません。 今すぐ行動して、ビジネスを攻撃から守り、顧客を詐欺やアカウント乗っ取りから守りましょう。

F5 Distributed Cloud Client-Side Defense は、Web ページの疑わしいコードの監視を自動化し、実用的なアラートを生成し、ワンクリックの緩和策でデータの流出を即座に停止することで、新しい PCI DSS v4.0 要件にすぐに対応し、Magecart、フォームジャッキング、デジタルスキミング、PII 収集攻撃から保護するのに役立ちます。

消費者の信頼とブランドの評判を維持しながら、コンプライアンス違反から顧客のプライバシーとビジネスを保護する方法の詳細については、このソリューションの概要をお読みいただくか、この製品デモをご覧ください。