|
情報漏えいIT対策などセキュリティに特化したサービスを提供する株式会社ブロードバンドセキュリティ(本社:東京都新宿区、代表取締役社長:滝澤 貴志、以下 BBSec)は、企業Webサイトに組み込まれた外部スクリプトの通信先ドメインを可視化し、悪性ドメインの混入やドメインの乗っ取りリスクを早期に検知する「外部スクリプトURL監視サービス」の提供を開始しました。 |
|
|
|
本サービスはObservability(可観測化)製品のRUM (リアルユーザーモニタリング)データを用いて外部スクリプトの通信先を監視することで、従来完全な把握が難しかった外部スクリプト経由の情報漏えい・改ざんリスクを早期に検知するものです。 |
|
|
|
|
|
|
|
|
|
【背景】 |
|
|
|
近年、企業Webサイトでは広告配信、アクセス解析、SNS連携、チャットボット、フォーム入力支援など、多くの外部サービスのスクリプト(外部タグ)が利用されており、その数は1サイトあたり数十から百を超えるケースも珍しくありません。攻撃者はこれらのスクリプト提供元のドメインを侵害したり、期限切れドメインを取得することで、正規のWebサイトに悪意あるコードを挿入する攻撃を行ったりしています。 |
|
|
|
こうした攻撃は、自社のサーバーやアプリケーションに一切の脆弱性がなくても発生し得るため、従来の脆弱性診断やWAF(Web Application Firewall)だけでは防ぎきれません。自社サイトが「どの外部ドメインを読み込んでいるか」を継続的に把握し、それらのドメインの安全性を監視することが不可欠です。 |
|
|
|
【「外部スクリプトURL監視サービス」の概要】 |
|
|
|
本サービスは、お客様のWebサイトが実際に読み込んでいるサードパーティドメインを自動的に収集・監視し、セキュリティリスクを多角的に評価するサービスです。 |
|
|
|
|
|
1. サードパーティドメインの自動収集 |
|
|
|
RUM(リアルユーザーモニタリング)のデータを活用し、実際のユーザーアクセスに基づいてWebサイトが読み込むサードパーティドメインを自動的に収集・一覧化します。 |
|
|
|
2. 複数の脅威データベースによる安全性評価 |
|
|
|
複数の脅威データベースからドメインの安全性を評価し、リスクスコアを算出します。 |
|
|
|
3. ドロップキャッチ(※1)ドメインの検知
|
|
|
|
RDAP(※2)(WHOIS)でドメイン登録情報を定期的にチェックし、期限切れ間近のドメインや新規登録ドメインを警告します。 |
|
|
|
4. リソース読み込みチェーンの追跡 |
|
|
|
外部スクリプトのリソース読み込みチェーンを追跡し、リダイレクト経由で読み込まれる中間ドメインも可視化します。 |
|
|
|
5. ページ単位のドメインマッピング |
|
|
|
どのページがどのサードパーティドメインを読み込んでいるかをページ単位で把握でき、影響範囲の特定を迅速に行えます。 |
|
|
|
6. 定期レポート |
|
|
|
リスクレベル別に整理されたレポートを生成し、新規検出ドメインやリスク変動の差分も明示します。レポートは経営層への報告にもそのままご利用いただけます。 |
|
|
|
※1 ドロップキャッチ:期限切れにより失効したドメインを第三者が即座に取得する行為。元のドメインの信頼性を悪用して、フィッシングやマルウェア配布に利用されるケースがある。 |
|
※2 RDAP(Registration Data Access Protocol):WHOISに代わるドメイン登録情報の照会プロトコルで、IETFが策定した標準規格。ICANNはgTLDレジストリに対してRDAP対応を義務付けている。(.jpは未対応) |
|
|
|
【本サービスにより解決できる課題】 |
|
|
|
企業のWebサイト管理者は、外部スクリプトを多用する自社サイトの運営に際し、以下のような課題に直面しています。 |
|
・自社サイトで読み込んでいるサードパーティドメインを把握できていない |
|
・読み込んでいるドメインが安全かどうか判断できていない |
|
・ドメインの期限切れにより第三者にドメインを取得されるリスクに気づけていない |
|
・ドロップキャッチされたドメインを検知する手段がない |
|
・悪性ドメインとして検知されたドメインを、どのページから読み込んでいるか対応関係がわからない |
|
・外部スクリプトが最終的にアクセスするドメインが分からない |
|
・新たに追加されたドメインや、リスクレベルが変化したドメインの変化に気づけない |
|
|
|
本サービスを導入することにより、企業は外部スクリプト起因の改ざんや情報漏えいリスクを早期に把握し、ブランド毀損や機会損失の予防、インシデント対応コストの低減、委託先を含むWebガバナンス強化を図ることができます。 |
|
|
|
BBSecでは、本サービスを通じて企業Webサイトのセキュリティ監視を強化し、外部スクリプトを利用したWebサイトにおけるリスクへの対策を支援していきます。 |
|
|
|
|
|
サービス詳細:外部スクリプトURL監視サービス |
|
|
|
https://www.gomez.co.jp/production/script_monitoring.html |
|
|
|
|
|
【BBSecについて】 |
|
|
|
BBSecは、2000年創業のトータルセキュリティ・サービスプロバイダーです。現状の可視化や診断から事故発生時の対応、24時間/365日体制での運用まで、フルラインアップのサービスを提供しています。高い技術力と豊富な経験、幅広い情報収集力を生かし、「サプライチェーンを狙った攻撃」「社会インフラを狙った攻撃」「AI時代のセキュリティ」を解決すべき社会課題ととらえ、より多くのお客様を悪意ある攻撃者から守ることで、「便利で安全なネットワーク社会を創造する」というビジョンを実現します。 |
|
