News
Web/オンラインスキミング防御/検知ソフトウェア「GOOSEC」の販売を開始
GIV会社(埼玉県川越市 代表取締役 飯島 啓仁 以下、GIV)は、Web/オンラインスキミング防御/検知ソフトウェア「GOOSEC」の販売を開始しました。
□ 「GOOSEC」開発の背景
GIVは2022年4月より、Web/オンラインスキミングの防御/検知ソフトウェア「GOOSEC」の提供を開始しました。オンラインスキミング攻撃は、従来のページの改ざん検知などの技術では防ぐことが困難で、サイトの管理者自身が被害の発生に気づくことすら難しく、長期間被害が出続けるケースも少なくありません。世界中でスキミング攻撃によるクレジットカードなどペイメントカード情報の流出事件が発生していることから、2022年3月に改定発行されたPCIデータセキュリティ基準(Payment Card Industry Data Security Standard、以下PCI DSS)※1の新バージョン4.0でもオンラインスキミング対策に特化した要件も追加されております。
GIVはWeb/オンラインスキミングの被害からECサイトを運営している事業者、ECサイト利用者双方を保護し、健全なECサイト運営の手助けになりたいという想いからGOOSECを開発しました。「GOOSEC」は、サイバーセキュリティ技術の研究開発を事業とする株式会社レインフォレスト(東京都杉並区、代表取締役:岡田 晃市郎)より技術提供を受け、Webサイトの制作運用保守を事業とするGIV社が製品開発したソフトウェアです。
□ 「GOOSEC」とは
Web/オンラインスキミング防御/検知ソフトウェア「GOOSEC」は、既存のサイバーセキュリティ対策製品だけでは対策の難しいスキミング攻撃を検知・防御するソフトウェアです。ユーザーのブラウザ操作をトレースする対話型クローラーと悪性のAPI通信を防御/検知するスクリプトを併用することで、Web/オンラインスキミングの被害からリアルタイムで保護することが可能です。「GOOSEC」を導入することで、PCI DSSに新設されたオンラインスキミングを防止する要件にも対応することが可能です。なおGOOSECは、GIVを中心に2021年11月30日に技術特許の出願がされております。
GOOSECの概要図は以下の通りとなります。
□ 「GOOSEC」の主な特徴
オンラインスキミング被害をリアルタイムで防御・検知
「GOOSEC」の検知用スクリプトを対象のコンテンツに挿入いただくだけで、オンラインスキミングをリアルタイムに防御することが可能です。ECサイトに訪れたユーザーが入力したクレジットカード情報や個人情報を外部に転送する通信自体を遮断するため、情報流出を防ぐことができます。
各ECサイトの特性に応じたクローラーを用いたスキミング検知機能
オンラインスキミングの手口として、偽の決済画面に誘導されて情報を搾取されてしまうという被害があります。
「GOOSEC」のクローラーは、シナリオに応じてサイトのクロールを行い、決済画面の遷移やログイン後のユーザー管理画面での情報入力など、サイト内でユーザーが辿る経路を模倣し、その経路の正常性を監視することができます。クローラーを用いることで、偽の決済ページに誘導されるような改ざんがどのページで発生したのかを検知、ECサイトの管理者に通知することで被害を最小限に抑えることができます。
サイト改ざんに強い検知ロジック
ECサイトの管理者アカウントが不正アクセスされた場合やWebアプリケーションの脆弱性により、オンラインスキミング防御/検知用のスクリプト自体が無効化されるという改ざんが想定されます。その場合でも、GOOSECのクローラーが対象コンテンツを巡回する際、クローラープログラム自身で検知用スクリプトを挿入・実行するため、オンラインスキミングの検知が可能です。また、オンラインスキミング検知用スクリプトが無効化されていたことを管理者にアラートで通知することもできます。
運用負荷が低くセキュリティの専門知識不要
保護対象のデータ(個人情報、クレジットカード情報等)の流出を防御もしくは、検知した時や偽画面に遷移された際にアラートが上がるため、不要なアラートは上がらず運用負荷が低いです。また、下記の3つのカテゴリで検知アラートがあがるため運用する上で、セキュリティの専門知識は必要ありません。
【アラートのカテゴリ】
① スキミングコードの実行サイトが改ざんされ、入力情報を第三者に送信されてしまうような悪性 コード(ホワイトリストで許可されていないコード)が実行された場合に防御(または検知)
②偽画面への遷移(強制リダイレクト)サイトが改ざんされ、偽の情報入力ページに遷移してしまった場合、もしくはキャッシュサーバが汚染され、偽のページに強制リダイレクトされた場合に検知
③検知用スクリプト無効化(検知用スクリプトタグの削除)
スキミング検知用JavaScript自体が改ざん、もしくはタグが削除された場合に検知
□ 新設されたPCI DSS v4.0 要件への対応
PCI DSS v4.0では、「消費者のブラウザで表示される決済ページでは、検証済みの認可されたスクリプトのみが読み込まれ、実行されること」や「消費者ブラウザが受信した決済ページのコンテンツに対する不正な変更を警告する」という新要件が追加されております。前述の「GOOSEC」の各種機能により、本要件に対応することができます。
※1 PCI データセキュリティ基準(PCI DSS):
クレジットカードなどペイメントカード会員データを安全に取り扱う事を目的として策定された国際セキュリティ基準。Payment Card Industry Data Security Standard の頭文字をとったもので、国際ブランド5社 ( American Express・Discover・JCB・MasterCard・VISA ) が共同で設立したPCI SSC ( Payment Card Industry Security Standards Council ) によって策定・管理されている。
【GIV株式会社】
所在地 埼玉県川越市脇田本町7番地6 ダイゴビル6階
代表者名 飯島 啓仁
設立 2014年12月
URL https://www.goosec.jp/
【株式会社レインフォレスト】
所在地 東京都杉並区成田西2-8-10
代表者名 岡田 晃市郎
設立 2018年6月 URL https://www.rainforest-
-
2024.12.6
-
2023.12.18
-
2023.12.6
-
2022.12.10
-
2022.4.28
-
2021.12.1