正規ドメイン上で起きるフィッシングの新手口
東芝や無印良品など複数の企業サイトで、正規ページの閲覧中に不審なログイン画面が表示される事案が報告された。URLやHTTPS表示が正しく見えるため、利用者が疑いにくいのが特徴である。従来の「偽サイト誘導型」ではなく、正規サイトの表示そのものが書き換えられる点がサプライチェーン攻撃として深刻だ。
攻撃者はページ内にモーダルやポップアップを重ね、ID・パスワードなどの入力を促す。入力情報が外部に送信されれば、アカウント乗っ取りや決済情報詐取、パスワード使い回しによる二次被害に波及する。情シスはブランド毀損だけでなく、顧客対応・法務・広報まで含むインシデントに発展し得ることを前提に備える必要がある。
polyfill.ioに代表される外部JavaScript依存の落とし穴
polyfill.ioは古いブラウザの機能不足を補うスクリプトを外部配信するサービスで、タグを貼るだけで互換性対応できる利便性があった。だが配信元が侵害・改ざんされた場合、参照している多数サイトへ一斉に悪性スクリプトが配布され得る。これは自社サーバが無侵害でも、フロントエンドの供給網が侵入口になることを意味する。
加えて、過去に導入したタグがCMSテンプレートやタグマネージャに残存しやすい。担当者交代やリニューアルを経て「誰も意識していない外部依存」が温存されると、リスクの所在が見えなくなる。まずは現状把握が最優先のセキュリティ課題である。
企業側の優先対応:止血から再発防止まで
初動は外部スクリプトの棚卸しと遮断である。共通ヘッダ、タグマネージャ、広告設定、A/Bテストなど複数経路で同一ドメインを読んでいないか確認し、該当参照を停止する。次に、どのページに影響が及ぶかを特定し、利用者告知とパスワード変更案内などの対応方針を整える。
再発防止にはSRI(Subresource Integrity)とCSP(Content Security Policy)の導入が有効だ。SRIはハッシュ不一致時に読み込みを失敗させ、CSPは許可しないスクリプト実行や送信先を制限できる。既存サイトではCSPをいきなり厳格化すると障害になりやすいため、レポート収集から段階導入するのが現実的である。
さらに、不要なpolyfillや外部ライブラリを削減し、必要なものはセルフホストへ切り替える。更新手順、レビュー、CI/CDでの検証といった変更管理を整え、依存関係を資産として管理することが重要だ。加えて、合成監視でDOM変化や不審フォーム出現を検知し、CSPレポートやWAFログ、タグ変更監査を組み合わせて早期発見を設計する。
情シスが整えるべき運用:外部依存の最小化と継続監視
企業サイトは解析、広告、チャット、決済など多数の外部スクリプトで成立しており、Webは「外部依存の集合体」である。ゆえに1つの供給元侵害が、正規サイトを攻撃基盤に変えるリスクを常に抱える。情シスは「貼って終わり」の運用を改め、依存の棚卸し、最小化、検証、監視を継続する体制へ移行すべきだ。
利用者の自衛としては、突然のログイン要求が出た際に画面を閉じて再アクセスする、OS・ブラウザを最新化するなどが有効だ。だが根本対策は企業側の依存管理にある。フロントエンド供給網を守ることが、顧客の信頼と事業継続を守る近道である。
参照: 「不審なログイン画面」多発の背景にあるpolyfill.io経由リスクとは 企業サイトが直面するサプライチェーン攻撃の現実