Akamai、Page Integrity Manager を発表　クレジットカード情報のスキミングや、巧妙な“Magecart 型”攻撃から守る最新ソリューション

ブラウザ内の脅威を検知する Page Integrity Manager(※1)は、ユーザーデータの窃取をする悪質なスクリプトを特定するように設計されたソリューションです。悪性のJavaScriptをブラウザに送り、クレジットカード情報などの個人情報を盗み取る高度なWebスキミングの攻撃手法は、ハッカーグループMagecart によって広まりました。そして現在では、Magecart以外の攻撃者でも使われるようになりました。このような攻撃は増加傾向を見せており、頻繁にデータ漏えいの原因となっています。

※1 Page Integrity Manager 製品概要：
https://www.akamai.com/jp/ja/multimedia/documents/product-brief/page-integrity-manager-product-brief.pdf

一般的なウェブサイトのコンテンツでは多数のサードパーティのJavaScriptを外部参照しています。そして、その多くは複数のソースからスクリプトをダウンロードし、ユーザーのブラウザ内で実行します。サードパーティのスクリプトは、決済に使われる機密情報・口座情報・個人情報等を入力するフォームの生成だけでなく、ページ来訪者のアクセス解析、チャットボットによる応対、ソーシャルメディアとの連携など、現在のウェブサイトでは当然とされるリッチなユーザー体験の提供に欠かせません。ところが、こうしたスクリプトはサードパーティによって供給および管理されているため、これらのスクリプトが改ざんされて攻撃に用いられるケースにおいて、自社のセキュリティチームからの可視性がほとんどなく、制御が難しいのが実情です。

Akamai の Page Integrity Manager は、利用者のブラウザ内でのスクリプトの挙動を監視します。スクリプトがブラウザ内部で起こす疑わしいふるまいを検知し、悪性のアクティビティをブロックすることで、ウェブスキミング、フォームジャッキング、Magecart 攻撃などの JavaScript を悪用した情報窃取の脅威から Web サイトの利用者を保護するよう設計されています。また、Page Integrity Manager は疑わしいスクリプトのアクティビティをリアルタイムで検知することが可能なため、Magecart のような、普段表に出ることのないWebコンテンツのサプライチェーンの弱点を突く攻撃が発生した際に、より効果的な撃退法を提供します。

「小売、メディア、サービスを中心にさまざまな業界において、ウェブスキミング攻撃の発生数は高い水準で推移しています」と、Akamai で Security Researcher を務める Steve Ragan は述べています。「最近の 7 日間を対象に、1 億 1,000 万におよぶページビューの中で実行された、約 50 億回の JavaScript を分析したところ、約 1,000 個の脆弱性を発見しました。いずれも機微なユーザーデータの窃取につながる恐れがあるものばかりです」。

最近 FBI が発表した報告によると、ウェブスキミング（E-スキミング）は 7 年近く監視対象になっているにもかかわらず、サイバー犯罪者はマルウェアをオンラインで共有し、より巧妙化しているため、犯罪件数はむしろ増加しています。

「ウェブページのスクリプトは、もともと極めて動的なものです。特にサードパーティのスクリプトの可視性は不透明なため、防御が難しい新たな攻撃ベクトルが生み出されています」と、Akamai の Web Security 部門 Vice President of Products である Raja Patel は述べています。「Page Integrity Manager なら、ファーストパーティ製、サードパーティ製などのスクリプトを含め、さまざまなスクリプトのリスク管理に必要な可視性と、それぞれの企業に適したビジネス上の決定を下すのに必要となる実用的な情報を得ることができます」。

Page Integrity Manager について詳しくは、製品ページ(※2)をご覧ください。
その他、ウェブ・アプリケーション・ソリューション(※3)については、セキュリティソリューションページをご覧ください。
※2 Page Integrity Manager製品ページ：
https://www.akamai.com/jp/ja/products/security/page-integrity-manager.jsp
※3 セキュリティソリューションページ：
https://www.akamai.com/jp/ja/products/security/
 
アカマイ について：
アカマイは世界中の企業に安全で快適なデジタル体験を提供しています。アカマイのインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドがアカマイを利用しています。アカマイは、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成されるアカマイのソリューションポートフォリオは、比類のないカスタマーサービスと分析、365日/24時間体制のモニタリングによって支えられています。世界中のトップブランドがアカマイを信頼する理由について、<www.akamai.com/jp/ja/>、<blogs.akamai.com/jp/>およびTwitterの@Akamai_jpでご紹介しています。全事業所の連絡先情報は、<www.akamai.com/locations>をご覧ください。

※アカマイとアカマイ・ロゴは、アカマイ・テクノロジーズ・インクの商標または登録商標です
※その他、記載されている会社名ならびに製品名は、各社の商標または登録商標です