BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Cloudflare、ディジタルスキマなどオンラインの脅威からEコマースを保護するサービスを発表

Cloudflare、ディジタルスキマなどオンラインの脅威からEコマースを保護するサービスを発表

原文(投稿日:2021/03/25)へのリンク

コンテンツ配信ネットワークサービス、DDoS対策、インターネットセキュリティサービス、2,500万のインターネットプロパティを対象とするドメインネームサービスなどを提供する、インターネットインフラストラクチャおよびセキュリティ企業のCloudflareは本日、Page Shieldという新たなサービスの提供を開始した。

Page Shieldは、Magecartのようなサプライチェーンおよびクライアントサイド攻撃からWebサイトのユーザ情報を保護する、クライアントサイドのセキュリティサービスである。

Magecartとは、EコマースWebサイトに対して共通的なデジタルスキマ(digital skimmer)攻撃の手口を使用する、さまざまな脅威グループの総称である。ディジタルスキミングはEスキミングとも呼ばれ、脆弱性を利用して悪意のあるJavaScriptをターゲットサイトに注入することによって、クレジットカードやディジタル決済情報をスキミングしようとするものだ。GDPRやCCPA(California Consumer Privacy Act)の規制の下では、消費者の個人情報や金融情報の保護に失敗した場合、その損失は企業が負担することになっている。例えば英国ではICO(Information Commisioner's Office)が、情報保護上の過失が原因で40万件以上の消費者情報をMagecart攻撃によって漏洩させたBritish Airwaysに対して、2000万ユーロの罰金を課している。

この種の攻撃に対する防御策としては、Content Security Policy (CSP)Subresource Integrity (SRI)という2つの方法がある。CSPは、ブラウザに対して許可リストを送信することで、そのリストに含まれないリソースの実行を阻止する、というものだ。またSRIでは、JavaScriptや他のリソースに期待されるファイルハッシュを指定して、フェッチしたファイルがそのハッシュに合致しない場合には、その実行をブロックする。いずれの方法も悪意のあるスクリプトの実行を防止するが、それぞれにデメリットと制限がある。

CloudflareはPageShieldを、CSPで許可リストをメンテナンスするような複雑な操作を強いることなく、これらの脅威から消費者を保護するもの、と位置付けている。さらにPage Shieldは、Cloudflareのサイトから簡単に利用できるため、サイトへのインテグレーションも短時間で行うことができる。"Cloudflareがネットワーク上に位置していることにより、Cloudflareが保護するWebサイトを訪れたユーザは、まず最初にCloudflareを訪れることになります。これによって当社は、あたかも保護対象のサイトから参照したように、Webページを変更することが可能になるのです。"と、CTOのJohn Gragam-Cumming氏は説明する。HTTPヘッダの変更、JavaScriptの挿入、ページのハッシュといった、あらゆるセキュリティ関連の処理を行うことができます。"

Cloudflareは、最近急速にその数を増やしている、顧客のネットワークとクラウドプロバイダ/オンプレミスネットワークの間でサービスを提供する、LFEdgeがサービスプロバイダエッジ(Service Provider Edge)と呼ぶ企業群の一社である。サービスプロバイダエッジは、従来よりコンテンツ配信ネットワーク(Content Delivery Network)がその場所を占めているラストワンマイルネットワークの反対側にあるインフラストラクチャで構成されている。

リクエストパスにおけるCloudflareの位置は、同社に対して、顧客に多くの開発投資を強いることなく、これらのリアルタイムなセキュリティ変更を迅速に行うことを可能にしている。

Page Shieldの最初のバージョンでは、同社がScript Monitorと呼ぶ機能が使用できる。Script Monitorは、HTTP Context-Security-Policy-Report-Onlyレスポンスヘッダを自動的に挿入し、それを活用する。Context-Security-Policy-Report-Onlyレスポンスヘッダによって、サイト上での違反報告の生成とCloudflareへの返送が可能になるのだ。

このレポートを使って、ページ上でどのようなJavaScriptが実行されているかを監視することができる。Cloudflareは、サイトのページ上で実行されているJavaScriptを、そのゾーンの過去の依存関係と比較することによって、サイト上のライブラリへの変更について顧客に警告する。 

最初のリリースで実施するのは監視のみ(スクリプトをブロックしない)だが、Gragam-Cumming氏によると、Page Shieldの今後のリリースでは機能の拡張を予定している。将来はマシンラーニングを活用して、Magecartのような悪意あるアクタの使用する脅威パターンのクラス分けや、悪意あるスクリプトの検知とブロックを行うアクティブスキャニングを提供することなどが考えられている。"最終的には、顧客がサードパーティ製JavaScriptを直接使用せずに、当社を通じて検査を行うことができるようにしたいと思っています"と、Graham-Cumming氏は述べている。

Magecartのようなサプライチェーンとクライアントサイドを対象とする攻撃は進化を続けており、いくつかのゼロデイ攻撃でも使用されている。企業の対顧客リスク、潜在的な賠償リスクは高い。CloudflareのPage Shieldは、このリスクに対抗するためのオプションとして、CSPやSRIなどと並んで加わったことになる。

本日より、ビジネスおよびエンタープライズのCloudflareカスタマは、Page Shieldのクローズドベータにサインアップして参加することが可能になった。ベータに加わると、Script Monitorをアクティベートして、自身のサイトのJavaScriptの監視を始められる。

この記事に星をつける

おすすめ度
スタイル

BT