Web/オンラインスキミングに起因する情報流出の被害や機会損失を最小限に抑え、企業イメージ・企業ブランドの低下を防ぎます。
「GOOSEC」は、既存のサイバーセキュリティ対策製品だけでは対策の難しいスキミング攻撃を検知・防御するソフトウェアです。
ユーザーのブラウザ操作をトレースする対話型クローラーと悪性のAPI通信を防御/検知するスクリプトを併用することで、Web/オンラインスキミングの被害からリアルタイムで保護することが可能です。
「GOOSEC」を導入することで、PCI DSSに新設されたオンラインスキミングを防止する要件にも対応することが可能です。
オンラインスキミング被害をリアルタイムで防御・検知
「GOOSEC」の検知用スクリプトを対象のコンテンツに挿入いただくだけで、オンラインスキミングをリアルタイムに防御することが可能です。
ECサイトに訪れたユーザーが入力したクレジットカード情報や個人情報を外部に転送する通信自体を遮断するため、情報流出を防ぐことができます。
オンラインスキミングの手口として、偽の決済画面に誘導されて情報を搾取されてしまうという被害もあります。
「GOOSEC」のクローラーは、シナリオに応じてサイトのクロールを行い、決済画面の遷移やログイン後のユーザー管理画面での情報入力など、サイト内でユーザーが辿る経路を模倣し、その経路の正常性を監視することができます。
クローラーを用いることで、偽の決済ページに誘導されるような改ざんがどのページで発生したのかを検知、ECサイトの管理者に通知することで被害を最小限に抑えることができます。
ECサイトの特性に応じたクローラーによるスキミング検知機能
サイト改ざんに強い検知
ロジック
ECサイトの管理者アカウントが不正アクセスされた場合やWebアプリケーションの脆弱性により、オンラインスキミング防御/検知用のスクリプト自体が無効化されるという改ざんが想定されます。
その場合でも、GOOSECのクローラーが対象コンテンツを巡回する際、クローラープログラム自身で検知用スクリプトを挿入・実行するため、オンラインスキミングの検知が可能です。
また、オンラインスキミング検知用スクリプトが無効化されていたことを管理者にアラートで通知することもできます。
PCI DSS v4.0では、「消費者のブラウザで表示される決済ページでは、検証済みの認可されたスクリプトのみが読み込まれ、実行されること」や「消費者ブラウザが受信した決済ページのコンテンツに対する不正な変更を警告する」という新要件が追加されております。
前述の「GOOSEC」の各種機能により、本要件に対応することができます。