【マンガでよくわかる】 巧妙化するブラウザ側のセキュリティ脅威から Webサイトを守る方法

■Webスキミングとは

Webスキミングとは、ウェブサイト上の顧客の個人情報やクレジットカード情報を盗むための悪質な技術です。スキミングは、ウェブサイト上に偽のフォームを設置し、顧客が個人情報を入力すると、その情報を不正に取得することができます。また、スキミングの技術は年々巧妙化しており、ウェブサイトのセキュリティシステムを突破して、顧客の情報を盗むこともできます。オンラインショッピングやオンラインバンキングなどの取引によく利用されるため、顧客の個人情報を保護するためには、セキュリティ対策が必須となります。Webサイトの運営者は、HTTPSプロトコルを使用し、セキュリティ認証を取得することで、顧客の情報を保護することができます。顧客は、信頼できるウェブサイトでの取引に限定し、不審なウェブサイトやメールには注意する必要があります。

■主なブラウザ側のセキュリティ脅威

Magecart
Magecartとは、元々サイバー犯罪集団に付けられた用語です。顧客のクレジットカード情報を盗むことを目的とし、オンラインストアやウェブサイトの決済ページに不正なスクリプトを挿入し、情報を盗みとります。

フォームジャッキング
フォームジャッキングとは、ウェブサイト上のフォームを改ざんし、不正な情報を送信する攻撃手法のことです。攻撃者は、フォームに対して、特定のコードを挿入することでフォームの動作を改ざんします。フォームジャッキングにより、ユーザーが入力した情報が攻撃者側に送信されるようになり、クレジットカード情報やパスワードなどの個人情報が盗まれることがあります。

アカウント乗っ取り（ATO）
アカウント乗っ取り（ATO）とは、不正な手段で他人のオンラインアカウントに侵入し、そのアカウントを不正に操作することを指します。例えば、パスワードを推測したり、フィッシングによりパスワードを不正に入手したりすることで、アカウントにアクセスし、メールやSNSのアカウントを乗っ取ります。アカウント乗っ取りが発生すると個人情報や金銭的な損失を引き起こす可能性が高く、攻撃者は乗っ取ったアカウントを通じて他人に迷惑をかけたり、悪意のある行為を行ったりすることができます。

F5 Distributed Cloud Client-Side Defenseの仕組み

Distributed Cloud Client-Side Defense JavaScriptは、不審なコードがないかWebページを監視し、テレメトリをDistributed Cloud Client-Side Defense Analysis Serviceに送信します。これにより、ワンクリックでのリスク軽減が可能なダッシュボードに表示できる実用的なアラートが生成されます。リスク軽減を有効にすると、Client-Side Defense JavaScriptは、攻撃者がデータを盗み出すために使用するブラウザからのネットワーク呼び出しを遮断します。

F5 Distributed Cloud Client-Side Defenseでは、WAAP機能をプライベート/パブリッククラウド側に導入し、トラフィックをSaaSに経由させないことも可能です。