セキュリティ攻撃 オンラインスキミング

最近（2018年ごろから）流行りの攻撃手法

2018年9月、イギリスの航空会社British Airwaysのオンラインストアで38万人分ほどのクレカ情報が漏洩した際に、この攻撃が利用されており、そこからこの攻撃手法による被害が広がっている。

被害内容

ユーザーのクレジットカード情報が漏洩する

その他のフォームに入力するような情報も漏洩する可能性はある

主なやり口としては2つ存在する

1. サイトを直接攻撃（管理者権限の奪取、脆弱性の悪用など）してコードを改ざんする方法

これは基本的な方法

管理者のID/Passを予測したり、管理者から上手いこと盗んだり

ミドルウェアの脆弱性を悪用してサーバーを操作したり

とにかくサーバー内の操作権限をもって、コードを直接改ざんしてくる

2. サイトが利用するプラットフォームやライブラリ・プラグインなどのコードを改ざんする方法

こっちが比較的ナウい方法

①そのサイトが利用してるjavascriptライブラリの内容を改ざんする

②サーバーサイドで利用してるプラグイン・ライブラリの内容を改ざんする

③そのサイトが利用してるプラットフォームの内容を改ざんする

などなど、想像力を使えばまだまだありそう

対象サイトには一切の痕跡が残らないので、誰に盗まれたのか、そもそも盗まれたのか？にすら気づきにくい、そんなヤベェ攻撃手法

でも、ライブラリを改ざんした記録は残るやん！

そういうのも上手く消して完全犯罪な攻撃手法もあるのだとか...

対策

「1」はよくある対策を丁寧に行うことが大事

サーバーへのログインは２段階認証を利用する、ID/Passは難しいものにする。

ミドルウェアやOSなどの脆弱性チェックは抜かりなく。

「2」は結構難しい

信用できるライブラリを利用する

定期的にライブラリのチェックして、脆弱性が無いか、怪しい動きしてないかのチェックする必要があるのかも

参考：