Webサイトの「依存関係」を狙うブラウザサプライチェーン攻撃、有効な対策は？

　多くの場合、Webサイトはサードパーティープロバイダーが作成したショッピングカートやチャットbotといった「依存関係」にある別のプログラムを使用することで、意図した通りの機能を実現している。しかし、これらの「依存関係」はエンドユーザーのブラウザから読み込まれることが多いため、セキュリティ上の大きな懸念になっている。

　実際、Webサイトのチェックアウトフォームからクレジットカード情報を盗み取るMagecart攻撃は、長年にわたって脅威となり続けている。エンドユーザーをこれらのブラウザサプライチェーン攻撃から守る方法としてコンテンツセキュリティポリシー（CSP）などの技術を利用する手もあるが、完全な保護には至らないのが実情だ。

　そこで本資料では、サードパーティースクリプトの可視化や監視など、ブラウザサプライチェーン攻撃を抑制するために実践したい4つのベストプラクティスについて解説する。悪意のあるクライアント側のJavaScriptを検出するためにはどのような取り組みが必要か、ぜひ詳細を確認してほしい。