『JavaScriptを使ったWebスキミングは、Magecartの編み出した手法をベースに、さらに巧妙に攻撃の存在を隠して「見えなく」なるよう、日々進化を続けている。例えば、2019年11月にクレジットカードブランドのVISAが実態を分析、報告したJavaScriptのスキミングプログラム「Pipka」は、JavaScriptがブラウザ上でいったん実行されるとその直後に自身の悪性スクリプトをページから消去する。そのため人の目でチェックしても、不正なコードを発見できない。さらに、窃取したデータを攻撃者の用意したサーバに送る際（上図4番の通信）に暗号化などを施すことで、カード番号やメールアドレスなどの文字列が送信されたと分からないよう工夫している。こうなると、一般人はもちろんセキュリティの専門家でさえ、日常的なWebブラウザの利用中に、スキミングが裏で起きていると気付くのは難しい。～追加対策としてまず考えられるのは、悪意のあるJavaScriptを発見するスキャナーだろう。Webブラウザをエミュレートする形で調査対象のWebサイトに定期的にアクセスを行い、参照しているサードパーティーJavaScriptまで含めて読み込んだうえで、危険なスクリプトを自動的に見つけ出す。サイバーセキュリティ企業の米RiskIQなどのソリューションが対応しており、同社は実際にこれまで幾つものWebスキミングを詳細に分析のうえ公開している。しかしこの方式の課題は、実際の利用者がアクセスしたブラウザの中で起きるスキミングをリアルタイムに検知して阻止できないことだ。そこで考えられたのが、こうした“JavaScriptスキマー”をWebブラウザ内で検出するためのJavaScriptをWebコンテンツに付加して配信するという、米Akamai Technologiesなどが提供する方法だ。これは病原体に対する「ワクチン注射」に似ている。抽入された検査スクリプトは、ブラウザ内に読み込まれたJavaScriptの不正なふるまいや脆弱性を監視するとともに、危険なサイトとの通信をリアルタイムで検知してサイト管理者に報告する。Webサイト自身のコンテンツだけでなく、参照されたサードパーティースクリプトが集まるブラウザの中でまとめて検査し、もちろん不正なプログラムコードの実行も阻止できる。サイト運用者の責任で、Webサイトの利用者全員をWebスキミングから保護できることも特長だ。これらのJavaScriptを自動検査するソリューションを、Webサイトの多層防御の仕組みに追加することで、脆弱性や改ざんの可能性のあるスクリプトを可視化できる。「スクリプトが不要なデータを読もうとしていた」などのリスクが具体的に分かれば、該当するスクリプトを利用している部門が速やかに利用停止の判断を下せる。ビジネス上の要件とセキュリティのバランスを取ったスクリプトの運用にもつながるだろう。JavaScriptによるWebスキミングの脅威は、かつて世界中で大流行したマルウェア「Conficker ワーム」で使われた検知回避の仕組みを取り込むなど、今もまさに急速な進化を続けている。北朝鮮政府の関与が指摘されるハッカー集団「ラザルス」も、この分野で活動しているとの分析もある。Webスキミングが狙う情報は、クレジット決済だけではない。Webを通して扱われている幅広い個人情報や機密情報が、攻撃技術の進歩によって無防備にネットにさらされている状態を想像してほしい。特に顧客や取引先との接点をWeb上に構築している企業や組織は、警戒レベルを一段上げてJavaScriptの安全対策に真剣に向き合う必要がある。クレジットカード被害については、消費者側でも月ごとのカード明細の確認などで自衛を心掛けたい。その際、窃取したカード情報を用いた不正購買は、サイトで情報を窃取されてから数カ月から半年くらいのタイムラグをおいて、別のサイトで行われることもあるので注意が必要だ。不審な点を見つけたら、カード会社に連絡しよう。外出自粛下で、便利なオンライン通販やデリバリー、サブスクリプション制のサービスに新規登録し、カード決済している人も多いだろう。経済が動くところで情報が動き、それを求めてサイバー犯罪も集中する。社会変容のすきをつく「見えない攻撃」を見分けられる目を企業、消費者ともに養っていきたい。』

ネット界隈ではウイルス vs ワクチンの攻防は日常茶飯事で行われている。リアルなウイルスと同じく日々厄介になっているのだ。

ウイルスには“ワクチン注射”　記録に残らない「Webスキミング攻撃」の可視化と対策の最前線
https://www.itmedia.co.jp/news/articles/2009/18/news072.html