Blog

サイバーセキュリティ意識とデジタルスキミング

2019.10.17

2019年10月15日、Christine Barry

毎年10月、バラクーダは、その年の世界中のサイバーセキュリティ意識への取り組みで重視された問題を再検討しています。今年のトピックは旅行に関する助言、職場のセキュリティ、新しいテクノロジを購入する場合の安全の維持などです。トピックのすべての詳細については、NCSAM（National CyberSecurity Awareness Month）とECSM（European CyberSecurity Month）のWebサイトをご参照ください。本稿ではEC（電子商取引）およびデジタルスキミングと一般的に呼ばれている犯罪に関するリスクについて簡単に説明します。

簡単に言うと、デジタルスキミングとはオンラインフォームに入力されたクレジットカードデータなどの個人情報を盗み出す行為です。通常、この行為は、ECでは、顧客がオンラインアカウントにログインするか、会計時に支払情報と配送情報を入力した場合に実行されます。

デジタルスキミングは複数の方法で実行される可能性があります。よくある攻撃では悪意のあるコードがサードパーティのプラグインまたはJavaScriptの共有ライブラリに挿入されます。また、既知のエクスプロイトによる攻撃を受けやすいECなどのWebサイトを検出するための自動スキャンが実行され、スキャン結果に基づいて、攻撃が実行されます。チケットマスター、フォーブス、ブリティッシュ・エアウェイズなどのWebサイトへのMagecartによる攻撃はショッピングカートなどのオンラインフォームによるデジタルスキミングの例です。

すべてのEC企業はデジタルスキミング攻撃を受ける可能性があります。クレジットカードデータなどの個人情報を収集するWebサイトを運営している場合は、ユーザと自社のためにWebサイトを可能なかぎり保護する義務があります。Webサイトの保護に関するNCSAMによる助言は下記のとおりです。

支払ソフトウェアを定期的に更新する。
支払ソフトウェアのベンダから提供されたパッチをインストールする。
コードの整合性チェックを行う。
ウィルス対策ソフトウェアを常に更新する。
PCI DSS（Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティスタンダード）への準拠を確保する。
ブログを監視および分析する。
該当する場合は、インシデント対応プランを参照する。

すべてのeコマースビジネスは、デジタルスキミング攻撃の犠牲になる可能性があります。クレジットカード情報またはPIIを収集するサイトを運営している場合、そのサイトがターゲットになります。 #NCSAM #BeCyberSmart #CyberAware #CyberSecMonth

Webサイトが侵害された場合は、インシデント対応プランをすぐに実行します。インシデント対応プランがない場合は、下記の手順の優先度設定を検討します。

データがそれ以上は盗み出されないように、侵害されたアプリケーションを隔離する。
インシデントを調査し、損害を評価する。ネットワークとWebサイトに攻撃がそれ以上は実行されず、マルウェアが残っていないことを必ず確認する。
適切な法執行機関にインシデントを報告し、措置を依頼する。このような機関には、地元の当局だけでなく、米国のFBI（米国連邦捜査局）のIC3（米国インターネット犯罪苦情センター）とEU（欧州連合）のユーロポール（欧州刑事警察機構）のEC3（欧州サイバー犯罪センター）も含まれる。

ECサイトなどのWebフォームを保護する方法の詳細については、下記のリソースをご参照ください。

NCSAMのデジタルスキミングに関するレポート

Barracuda Web Application FirewallのWebサイトとアプリケーションセキュリティのブログ

10月は米国のNCSAM（National CyberSecurity Awareness Month）およびEU（欧州連合）のECSM（European CyberSecurity Month）として知られています。さまざまなサイバーセキュリティ問題に関する意識を向上し、サイバーセキュリティを強化できるように、国民を教育するために、政府と産業界が協同して行っている取り組みです。