「見えないリスク」がブランドを傷つける── 事例から学ぶクライアントセキュリティ Vol.1

自社ブランドやコンプライアンスを守るために、「このままで本当に大丈夫？」と思ったことはありませんか？

日々、キャンペーンを走らせ、タグを設置し、外部ツールと連携して、LPや広告を展開する――担当者として「やるべきこと」は一通りやっている。けれど、ふとこんな気持ちが頭をよぎる瞬間はありませんか？

• 外部パートナーや代理店経由で埋め込まれたタグ、全部把握できているのかな？
• 誰がいつ、どんなスクリプトを追加・変更したか、ちゃんと記録残ってるだろうか？
• 情報管理の観点で、いまのまま運用を続けていて問題ないのかな？

現場では「目の前の進行」を優先せざるを得ない日も多く、
スクリプトやタグが“何をしているのか”を深く追いきれないまま、なんとなく不安だけが積もっていく――そんな経験は、決してあなただけではありません。

本記事では、実際に大手EC企業「Newegg」で発生した情報漏えい事件を起点に、
見えづらいクライアントサイドのリスクが、いかにブランドとコンプライアンスに影響を与えうるかを紐解きます。

「見えていない」ことで、守れないものがある。
そんな気づきと、いまからできる対策のヒントをお届けします。

知らぬ間に“奪われる”顧客情報：Newegg社の事例

世界的なPC・電子機器通販サイト「Newegg」。
ユーザーにとっては信頼の置けるECプラットフォームであり、日々多くの決済が行われていました。
しかし、2018年、その裏側でクレジットカード情報の大規模な流出事件が発生していたことが明らかになりました。

この事件の主犯は、「サイレントタグ」。わずか15行の悪意あるコードが、支払いフォームに入力されたカード情報を外部へ送信していたのです。

攻撃の手口：Magecartスタイルのコード挿入

この攻撃は、Neweggのシステムそのものを破壊するようなものではなく、もっと巧妙なものでした。

• 攻撃者はチェックアウトページに読み込まれる外部タグに悪意のあるコードを紛れ込ませた
• このコードはユーザーの操作には一切影響を与えずに、支払い情報を外部サーバーに送信
• ドメイン名まで“neweggstats.com”と偽装し、ユーザーも運営側も気づかないまま1ヶ月以上稼働していた
  
  

翌月、このタグは外部セキュリティ研究者によって発見され、Newegg社はようやくコードを削除しました。

被害とブランド毀損の深刻さ

この間に何千件ものクレジットカード情報が流出し、ユーザーの信頼は大きく揺らぎました。特に注目すべきは、企業側が“被害が発生するまで気づけなかった”こと。
ユーザーとの接点であるフロントエンド、つまり「クライアントサイド」のセキュリティ監視が十分でなかったのです。

マーケターも“攻撃対象”である理由

この事件には、マーケターにも無関係ではいられない重大な教訓があります。

• タグマネージャーで管理している広告タグやABテストツールのタグ計測のために挿入した外部Java Script
• 入力内容をリアルタイムで自動チェックするフォーム用ツール

これらはすべて、クライアントサイドのタグです。
便利な一方で、その管理が不十分だと、Neweggと同様に「目に見えない侵入」を許してしまうことになります。

あなたのサイト、本当に“見えていますか”？

クライアントサイド攻撃への3つの対策

1. クライアント側アクティビティのリアルタイム監視

多くの企業が行うサーバーやバックエンドの監視だけでは、フロント側の攻撃を検知できません。ユーザーのブラウザ上で何が起きているかを可視化することが、被害を未然に防ぐ第一歩です。

2. 外部タグの管理と制御

• 定期的なタグ監査を実施し、不要なものを排除
• CSP（コンテンツセキュリティポリシー）で実行タグの出所を制限
• SRI（サブリソース整合性）で改ざんを検知

すべてのサードパーティタグを一覧化・管理し、外部への依存関係を可視化することで、マーケティング部門とセキュリティ部門との連携を円滑にする基盤が整います。

3. クライアントサイドセキュリティへの投資

WAFやアンチウイルスだけでは、Magecart型の改ざんは検出できません。
クライアントサイドで発生するユーザー操作やスクリプトの挙動を可視化し、不正タグの混入やフォーム改ざんなどの異常をリアルタイムで検知・通知する仕組みが有効です。

“見えていない”という最大のリスク

「セキュリティはIT部門の管轄」
そう考える時代は、すでに終わりを迎えています。

• LPで使っているヒートマップツール
• ABテスト用の外部JS
• タグマネージャーで一括管理された複数の広告タグ

それらのタグこそが、攻撃者の侵入口になります。

◾️Spider AF SiteScanで、より包括的なセキュリティ対策を

外部タグの可視化に有効なのが、クライアントサイドスクリプトの実行・パフォーマンス・セキュリティ状態をリアルタイムに監視・管理するツール「SiteScan24」です。

90%以上のWebサイトが利用している外部タグ。その中には、パフォーマンスを低下させる要因や、Magecartなどの脅威に悪用されるリスクも潜んでいます。

SiteScan24の特長

①外部タグの可視化とホワイトリスト管理
Googleタグマネージャー経由を含むすべての外部タグを自動で可視化し、安全な外部タグのみを許可できます。

②タグのリスク評価

新たに検出されたタグを自動でリスクスコアリングし、対応の優先度を提示します。

③LP／商品ページごとのパフォーマンス分析

各ページの表示ボトルネックを把握し、具体的な改善指針を提示します。

④SEO／UXスコアの定量化
Webサイトの表示速度やユーザー体験の改善効果をスコアとして可視化し、施策の評価や報告に活用できます。

こんな課題を抱えるマーケター・セキュリティ担当者に

• GTM管理が煩雑で、不正改ざんを見逃してしまう不安がある
• 外部タグの読み込み速度や実行頻度を可視化したい
• コンプライアンスや内部監査への対応を強化したい

Spider AF SiteScan：https://jp.spideraf.com/spider-sitescan-beta