フォームジャッキング
フォームジャッキング とは何ですか?
フォームジャッキング悪意ある JavaScript が被害者のブラウザでフォーム送信を傍受し、入力データを攻撃者サーバーへ送信する攻撃。
フォームジャッキングは、ログインや決済、アカウント更新など任意の HTML フォームを対象に、ユーザーのブラウザ内で送信処理を乗っ取る攻撃です。攻撃者は脆弱な Web アプリケーション、管理者アカウント、サードパーティスクリプト(チャットウィジェット、解析、A/B テスト)などを侵害し、submit や keyup イベントにフックする JavaScript を仕込みます。捕捉した資格情報・カード番号・住所・個人情報はリモートエンドポイントへ送信され、正規リクエストは正常に完了するため、ユーザーは気づきません。Magecart や British Airways の事件が代表例です。対策には CSP、Subresource Integrity、クライアントサイドのランタイム監視(Akamai Page Integrity、Jscrambler)、PCI DSS v4.0 のクライアントスクリプト整合性要件などがあります。
● 例
- 01
ログインページに仕込まれたスクリプトが送信時にユーザー名とパスワードを取得。
- 02
攻撃者が Shopify の決済アプリを改ざんし、偽の解析ビーコンで住所とカード情報を持ち出す。
● よくある質問
フォームジャッキング とは何ですか?
悪意ある JavaScript が被害者のブラウザでフォーム送信を傍受し、入力データを攻撃者サーバーへ送信する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
フォームジャッキング とはどういう意味ですか?
悪意ある JavaScript が被害者のブラウザでフォーム送信を傍受し、入力データを攻撃者サーバーへ送信する攻撃。
フォームジャッキング はどのように機能しますか?
フォームジャッキングは、ログインや決済、アカウント更新など任意の HTML フォームを対象に、ユーザーのブラウザ内で送信処理を乗っ取る攻撃です。攻撃者は脆弱な Web アプリケーション、管理者アカウント、サードパーティスクリプト(チャットウィジェット、解析、A/B テスト)などを侵害し、submit や keyup イベントにフックする JavaScript を仕込みます。捕捉した資格情報・カード番号・住所・個人情報はリモートエンドポイントへ送信され、正規リクエストは正常に完了するため、ユーザーは気づきません。Magecart や British Airways の事件が代表例です。対策には CSP、Subresource Integrity、クライアントサイドのランタイム監視(Akamai Page Integrity、Jscrambler)、PCI DSS v4.0 のクライアントスクリプト整合性要件などがあります。
フォームジャッキング からどのように防御しますか?
フォームジャッキング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
フォームジャッキング の別名は何ですか?
一般的な別名: フォームスキミング, クライアント側フォーム窃取。
● 関連用語
- attacks№ 642
Magecart 攻撃
EC サイトの決済ページに悪意ある JavaScript を注入し、顧客がカード情報を入力する瞬間に窃取するデジタルスキミング攻撃の総称。
- attacks№ 1229
Web スキマー / e スキミング
Web サイトに注入された不正コードで、顧客がページ上に入力するクレジットカード情報や個人情報を窃取する。
- attacks№ 240
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- identity-access№ 230
クレデンシャル収集
ユーザー名・パスワード・トークンなど認証情報を大量に集める行為で、通常はその後のアカウント乗っ取りや売買に使われる。
- compliance№ 807
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。