自社のWebサイトは安全ですか? - 不審な接続先の調査方法 Webスキミング編-

1.ECサイト利用の増加

近年、キャッシュレス決済の普及や、昨今のコロナ禍における巣ごもり消費の増加に伴い、ECサイトを利用したオンラインショッピングの利用率は益々高まっています。オンラインショッピングの機会の増加は、同時に攻撃者による攻撃の機会を招きます。特に欧米を中心に、Webスキミングと呼ばれる攻撃が数年前から観測されており、甚大な被害が発生しています。コロナウイルスによるパンデミック期間中の今この瞬間も、Webスキミングによる攻撃は観測され続けています。

2.フォーム入力情報の窃取 -Webスキミング‐

Webスキミングとは、スキマーと呼ばれる悪意のあるスクリプトを、Webサイトのログインページ等に設置し、フォームに入力される個人情報(ID,Password, クレジットカード番号等)を収集する攻撃のことを指します。



フィッシングサイトについては昨今ニュースでも取り上げられているため、一般消費者の方々の中にも「今アクセスしているWebサイトのURLは怪しいものではないか?」という警戒心を持っている方もいるのではないかと思います。


ですが、このWebスキミング攻撃の場合、フィッシングサイトとは違い、正規のWebサイト上にスキマーのスクリプトが埋め込まれてしまっています。
そのため、Webサイトの利用者は「今アクセスし表示しているWebサイトは正規のURLであるため、個人情報を入力しても問題ないだろう」と、裏では攻撃者が用意したサーバに情報が送られていることに気付くことができずに、個人情報を入力してしまうかと思います。
そのようにして一般消費者の方々のクレジットカード情報が漏洩してしまった場合、スキマーを埋め込まれてしまった企業側も被害者ではあるものの、消費者の金銭的被害を補償する必要に迫られるほか、企業の信用やブランドの損失に繋がってしまいます。


Webスキミング攻撃の厄介さについては何となくイメージしていただけたかと思いますが、上述のような「自社で管理しているWebサイトの脆弱性を突かれ、自社WebサイトのHTMLにスキマーが埋め込まれる」パターンだけでなく、近年は別のアプローチによるWebスキミング攻撃が観測されています。

3.外部参照先サーバの脆弱性を突いた攻撃 -サプライチェーンアタック-

▼WebサイトのコンテンツがWebブラウザ上に表示されるまで

サプライチェーン攻撃の説明の前に、Webサイトのページが表示されるまでの動作の概要について触れたいと思います。
利用者がWebブラウザを立ち上げてWebサイトのURLにアクセスする際、まずそのWebサイトのURLへのリクエストが送信されます。そのレスポンスとしてHTMLファイルがクライアントのWebブラウザに返されますが、そのHTML内の記述にはサードパーティドメイン(アクセス先URLのドメイン以外の外部ドメインのこと。スクリプト、画像、広告、CDN等が該当します。のサーバからコンテンツを参照するような記述も含まれていることが一般的です。
WebブラウザはそのHTMLの記述に沿って、サードパーティのサーバへのリクエストを送信し、レスポンスとして返される画像や広告、スクリプトをブラウザ上に表示します。

▼サプライチェーン攻撃について

サプライチェーン攻撃は、利用者が今現在アクセスし表示しているWebサイトドメインではなく、サードパーティドメインのサーバ側にスキマーを設置し、間接的にWebスキミングを行う手法のことを指します。



自社Webサイトの管理やセキュリティ対策が行き届いており、攻撃者による改ざんがされないような状態だとしても、外部参照コンテンツの配信元サーバが脆弱性を突かれて改ざんされ、スキマーが埋め込まれてしまった場合、利用者のWebブラウザからは、攻撃者が用意したサーバへの通信・個人情報の漏洩が発生してしまうことになります。


このように、Webサイトを管理する企業側がコントロールできない部分への攻撃となっているため、サプライチェーン攻撃は一般的なWebスキミングよりも厄介です。

4.サードパーティドメインへ発生している通信の把握

どのようなサードパーティドメインへの通信が発生しているのかを確認する方法としては、Webブラウザの開発者ツールを利用して通信先ドメインを確認する方法や、Webサイトのソースコードを確認する方法があります。

今回当記事では、インターネット上のデータセットを集約し、情報同士の繋がりを見やすく、またドリルダウンしやすい形で提供している、無償版の利用も可能なPassive Totalというツールを使い、自社のWebサイトで発生している通信先の一覧を確認する方法をご紹介したいと思います。

また、実際に観測されたスキマーの配布元サーバの情報をもとに、一体どのWebサイトにスキマーが埋め込まれてしまったのか、Passive Totalを利用したドリルダウン調査方法についても、併せてご紹介したいと思います。

▼Passive Totalについて

Passive TotalはRiskIQ社によって提供されている調査用ツールです。
以下のリンクからアクセス可能です。



アクセス後に表示される画面では、RiskIQ社による様々な脆弱性等に関する記事が公開されており、ユーザ登録をしていない状態でも一部ご覧いただくことが可能です。

ユーザ登録については、画面右上のRegisterボタンから進めます。



先日より騒がれている、SolarWinds社の製品Orionに関する脆弱性に関連する記事も複数公開されています。