サーバでの攻撃検知が難しい「クライアントサイド」攻撃の実態

　Webサーバに対する最も基本的な攻撃方法として、サーバの脆弱性を突き、WebShell（Web上でサーバに対して任意のコマンドを実行できるインターフェース）によって遠隔からサーバを操作し情報を盗むといった手法がある。

　しかし近年、攻撃はさらにもう一段階進歩している。たとえば、悪意のあるJavaScriptをクライアント側に組み込むことで、サーバ側にはそれが攻撃だと分からない手法でPIIデータ（個人を特定できる情報）を窃取しているのだ。

　これがいわゆる「クライアントサイド攻撃」であり、昨今多くの企業で被害が発生している「Webスキミング攻撃」もその典型例だ。Webスキミング攻撃とは、ECサイト上などに不正なコードを仕込み、サイトの利用者が入力した個人情報を攻撃者が盗み取る行為のことだ。

　Webスキミング攻撃では、まずサーバの脆弱性を突き、WebサービスやWebサイトの利用者への表示ページに対して、改ざんされた悪意のあるJavaScriptのコードを配信する。それにより、ECサイトであれば、ユーザーが入力した情報が直接攻撃者のサーバ（コマンド＆コントロールサーバ）に送信されてしまう。正規のサーバと通信しないため、情報流出の検知が難しいのが特徴だ。

　2018年には英国ブリティッシュ・エアウェイズが、Webスキミング攻撃によって顧客情報漏えいを起こし、訴訟問題にまで発展している。Webスキミングは日本ではまだ馴染みが薄く、多くの企業の理解が十分とは言えない。ファーストパーティのJavaScriptなら改ざんされにくいと考えるかもしれないが、同社の事例はサードパーティーではなくファーストパーティの改ざんであり、決して安心はできない。

　一方で、システムが稼働する「サーバサイド攻撃」についてもその手法は進化を続けている。