従来の認識を覆す長期的な脅威
Magecartスタイルのeスキミング攻撃に関する新たな長期調査により、「発見すれば回復したことになる」という従来の認識が覆されました。eスキミングは単発的なインシデントではなく、スクリプトが除去されても、以前侵害されたサイトに潜伏し、新たな形態で再出現する、長期にわたる変幻自在な脅威であることが明らかになりました。
研究者らは、1年間にわたり68カ国にわたる550の侵害されたeコマースサイトを追跡しました。その結果、eスキミングの永続性が例外ではなく、常態化していることが判明しました。最初の発見から1年後も、これらのサイトの18%がアクティブに感染したままであり、約6組織に1組織が真の回復を達成できていないことを意味します。さらに憂慮すべきことに、感染が持続しているサイトの57%では、元のスキマーではなく、新たなまたは進化した攻撃経路が用いられており、単純なクリーンアップの失敗ではなく、攻撃者の積極的な適応と再悪用が示唆されています。
オフラインに追い込まれるサイトと防御の盲点
調査と並行して、当初被害サイトとして特定されたサイトの16%がその後オフラインになるか、アクセス不能になっていました。これは、クライアントサイド攻撃が未解決のまま放置された企業にとって警鐘となるパターンです。
この問題の根本原因は構造的なものです。eスキミングはユーザーのブラウザ内で完全に動作するのに対し、ほとんどの防御策(WAF、CSP、サーバーサイドスキャナー、コードレビューなど)はネットワーク、サーバー、または静的アセットに焦点を当てています。この防御のミスマッチが、攻撃の永続化を許す要因となっています。
巧妙化する攻撃手法と対策の課題
eスキミングの手口は進化し続けています。一般的な対策では、目に見えるスキマーは除去されますが、その根底にある脆弱性、すなわちランタイムにおけるファーストパーティおよびサードパーティスクリプトのリアルタイムな可視性と制御の欠如が手つかずのまま残されます。ブラウザが監視されない実行環境である限り、攻撃者は伝統的な制御が暗黙的に信頼する新たなベクトルを通じて、密かに潜伏し、戦術を転換し、再侵入することが可能です。
感染した98サイトのうち、43%が元の攻撃キャンペーンを継続していましたが、57%は新しいコードパス、変更された配信方法、または新たなスクリプトの場所など、再感染または攻撃の進化を示していました。攻撃者は防御側の行動を監視し、組織が1つの悪意あるスクリプトをブロックしても、コアな脆弱性が変わらない場合、より強靭な技術で戻ってくるインセンティブを与えてしまっているのです。この適応の最も明確な兆候の一つは、ファーストパーティとサードパーティのコード間の移動です。研究では、キャンペーンの12%が時間の経過とともにサードパーティからファーストパーティの実行へと移行し、サイトのコアロジックや信頼されたアプリケーション領域により深く埋め込まれていました。
クライアントサイド監視の重要性
結論として、ブラウザ内で実行される脅威に対して、一時的なクリーンアップやサーバー中心のツールだけではもはや不十分です。効果的な防御には、実行中のすべてのスクリプト(信頼されたものも含む)を監視し、リアルタイムで危険な挙動を検出し、決済データやその他の機密情報がスキミングまたは外部に漏洩する前に実行中に制御を強制できる、継続的なクライアントサイド監視が必要とされています。
Source Defenseは、このギャップを埋める技術としてそのソリューションを位置付けています。ブラウザで直接動作することで、スクリプトのランタイム可視性を提供し、機密フィールドへの不正アクセスや偽の決済フォームを検出し、行動ベースの制御を適用してデータ抜き取りをブロックし、クリーンアップ後の再転換を著しく困難にします。これにより、組織は単発的なインシデント対応から、クライアントサイド環境の継続的な制御へと移行することができます。
最終的に、この研究はeスキミングを単なる技術的な迷惑ではなく、戦略的なビジネスリスクとして捉え直しています。攻撃を受けたサイトのかなりの部分がウェブから消え去るという事実は、eスキミングに直接起因するものでないとしても、厳しい警告です。ブラウザが主要な取引インターフェースである時代において、クライアントサイドの行動に対する可視性はもはや選択肢ではなく、真に持続する「インシデント解決」を実現するための基盤となっています。