[レポート]ラストマイル問題： ウェブマーケターが追加するサードパーティスクリプトという盲点 – CODE BLUE 2021 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

ラストマイル問題： ウェブマーケターが追加するサードパーティスクリプトという盲点

近年、「シフト・レフト」セキュリティは製品開発の初期段階でセキュリティを統合することを推進している。同時に、 Web マーケティングチームのツールセットは、より迅速なイテレーションを可能にするために、ますます「エッジ」に発展している。セキュリティチームは彼らが顧客向けのアプリケーションに挿入している強力なスクリプトの危険性を認識できていないのではないだろうか。本講演では、どのように問題が発生するのか、そして、マーケティング活動を妨げることなく、スクリプトの挿入を可視化するために、取ることのできるファースト・ステップを紹介する。

Presented by : アレクサンドル・メルシエ - Alexandre Mercier

レポート

• 自社サイト・ウェブアプリにある全てのスクリプトを100%把握していると言い切れますか？
• 元々セールスとマーケティングを学んでいた
  • 日本に来てWebマーケティングをやっていた
  • Vexの開発をしている
• 今日はWebマーケティングとセキュリティエンジニアの話
• DevSecOpsの理想像
  • セキュリティは1つのフェーズではなく色んな場所で動かす
  • リリースまでに脆弱性は潰せる
• 実際にはウェブマーケティングはビルドの後に行われるケースがある
  • ラストワンマイル問題
  • 開発したコードとは別にウィジェットを追加
  • ウェブマーケティングはタグマネージャーでスクリプトを追加する
  • ユーザーの属性情報を元にセグメントを分ける
    • ECサイトのレコメンドのためなど
  • どうやって守るか
    • ウェブマーケティングを禁止する？
    • ビジネス的にこの決断はできない
• タグマネージャーとは
  • ウェブサイトに含まれるタグ(トラッキングコードや関連するコード)
  • Google Tag Managerが多い
  • YahooやAdobeもある
  • 開発者向けではなくWebマーケター向けなので直感的なUI
  • マウス操作
  • trigger type
    • いつ見たとかどうマウス動かしたかとか
• 代表的なタグ
  • トラフィックの分析
  • ユーザーセッションのリプレイ
    • すごく強力
    • ビデオにして再現
    • 機密情報が入っているページに使われていたら怖い
• 事例
  • 設定ミス
    • 様々なターゲット、様々なトリガー、色んなサイト
    • 組み合わさってクレジットカード情報を収集してしまうなど
    • GDPRのおかげで安全に使うケースが増えた
  • 未確認の脆弱性
    • ユーザーが見ているサイトと開発者がみているサイトは違う
    • Webマーケターはアドホックに追加する
    • ポップアップが表示されたり
    • メールキャプチャポップアップ
      • できるだけユーザーを獲得することがマーケターの仕事
      • セキュリティエンジニアはXSSしてみたくなる
      • 少しの機能追加が悪影響になることも
  • 悪意のあるスクリプトの追加
    • タグはサンドボックス化されていない
    • マルウェア配布の確認を行うのはGoogleのみ
    • それ以外の対策はない
    • つまりツールがなんの保護措置を取らずに追加される
    • キーストロークの記録はキーロガーかUX改善なのか
      • タグマネージャーでは判断できない
      • 止めたらマーケターからクレームが来てしまうのでタグマネージャーはやらない
  • ソーシャルエンジニアリングのターゲットになりがち
    • 攻撃者もそうだし、内部脅威にもつながる
    • Webマーケターが悪意を持ったり
  • ドメインの乗っ取り
    • 使っていたドメインが失効して売られたり
    • ニュースサイトにアダルトビデオが流れていた問題
    • ビデオよりデータスキミングだったらシャレにならない
• マーケティングとセキュリティの連携
  • 理由
    • フロントエンドに大きな力を持っている
    • セキュリティ問題に敏感になっていない
    • この状況を変えるべき
  • ポイント
    • マーケティングに伝わる言葉で
      • お客様のブラウザに保護されていない通信と表示されて見込み客が離れてCVRに影響がある
      • スクリプトでウェブサイトが遅くなり直帰率への影響がある、新しいバージョンに置き換えできないか
      • など
    • 禁止はシャドーIT促進になるので気をつける
• マーケティングといっしょに働く
  • リスクを軽減するための知識
    • 資産目録
      • 何を守るのか
      • 収集している情報
      • 使っているツールスクリプト
    • 今までは何でも収集
    • GDPRもあるので何でもはやめられるようになってきた
    • 情報収集の減少について会話してみて
    • ツール/スクリプト
      • コアツールとその他のツール
      • コアはシフトレフトの対象にしたい(CI/CDに入れたい)
      • 一時的なツールはまとめられないので深い分析とリスク判断が必須
  • リスク評価
    • マーケティングは忙しい
    • タグマネージャーのDevOps
    • QAやレビューはできる
    • Secをどう入れていくか
    • 使えそうなツール
      • WAFではなくユーザー側で動いているものを確認する
      • 機密情報の無断収集の検知
      • 既知の脆弱製の有無の検知
      • 未知のドメインへの接続記録
      • perimeter Website Risk Analyzer
      • Akamai Page Integrity Manager
      • Report URI Data Watch
    • リスクアセスメント
      • 必要なスピード感は意識
  • リスクの軽減
    • ウェブマーケティングツールに関して
      • PIIをマスキング、記録しないセーフガードはあるか
        • GDPRで増えているのでチェックする
      • 設定できてるか
      • ミスしていないか
      • シフトレフト可能か
    • タグマネージャー運用を見直す
      • Googleはテンプレは決まったことしかできない
        • カスタムは危ない
    • 文化
      • ベンダーのバックグラウンドチェック
      • ベンダーのセキュリティコントロールを要求
    • 技術
      • iframeのallowやsandbox属性は使えるが…
      • 意図した機能が失われている
      • SubResource Integrity(SRI)はできるだけ追加
      • 優れているのはContent Security Policy(CSP)
      • まともなタグマネージャーはCSPに対応させてnonce値を作成できる
      • CSPも完璧ではない
      • バイパスや許可されたドメインの濫用は可能
        • DEFCONの発表も参考になる
    • セーフティネットを用意しましょう
      • タグマネージャーの設定は複雑で混乱しやすい
        • センシティブなページに拒否フィルタを設定する
        • 情報収取スクリプトより拒否フィルタを優先順位下げることで間違える
        • 制限をかける
• セキュリティはチームプレイ
• キーポイント
  • 我々の仕事は商用環境に出荷した後も続く
  • タグマネージャーに関して無縁であってはならない
  • 誰もがセキュリティの一部となっている
    • マーケターはまだセキュリティに敏感ではないかも
    • それを思い出させるのはセキュリティ側の仕事

感想

セキュリティライフサイクルの外側にWebマーケティングのスクリプトが入ることは盲点になりがちですし、そこで動く強力なスクリプトは非常に脅威になることがよくわかりました。

具体的なアプローチ方法が技術だけではなく付き合い方含めて提示されて有益な内容でした。幅広くこういったレイヤーも気にしていきたいですね。