自社サイトに脆弱性がなくても、被害は起こる。これが、近年のWebセキュリティの新しい現実です。
広告配信、アクセス解析、チャットボット、動画配信、SNS連携──。現代のWebサイトは、数十~数百もの外部スクリプトによって成り立っています。しかし企業が管理できるのは自社サーバーまで。配信元のCDNや、運営事業者のコードまでは管理が及びません。
その結果、改ざん・CDN乗っ取り・サプライチェーン攻撃・不正リダイレクトといった経路で、サイト訪問者から情報が抜き取られたり、詐欺サイトへ誘導されたりするケースが急増しています。Polyfill.io問題をはじめ、2024年以降は国内外で多数の被害事例が報告されており、もはや「対岸の火事」ではありません。
※HTTP Archive「Web Almanac 2024」より当社推計
脆弱性診断・WAF・改ざん検知といった従来のセキュリティ対策は、自社サーバー上のコードを守るためのものです。配信元の外部スクリプトには手が届かないため、4つの限界があります。
診断対象は自社サーバーとWebアプリケーションのみ。外部配信基盤は権限外のため、診断の対象外となります。
運営事業者のサーバーを勝手にスキャンすることはできず、配信元での改ざんやサプライチェーン攻撃には気付けません。
CSP(Content Security Policy)やSRIは有効だが、設定ミスでサイトが壊れるリスクがあり、頻繁に更新されるタグとの相性も悪く、完璧には防げません。
タグがタグを呼ぶ多段構造の最終ドメインまで追跡できなければ、本当のリスクは見抜けません。
外部タグの見えない脅威は、個人情報流出・ブランド毀損・集団訴訟リスクに直結します。近年実際に発生している代表的な3つの攻撃パターンをご紹介します。
攻撃者は決済ページの入力フォームを狙い、読み込まれるJavaScriptを改ざん。ユーザーが入力したカード番号や個人情報が、正規の送信と同時に攻撃者サーバーへも送り出されるため、サイト側では気付きにくいのが特徴です。
タグが別のタグを呼び、そのタグがさらに別のタグを呼ぶ…という多段リダイレクト構造により、ユーザーはフィッシングサイトやマルウェアサイトへ誘導されます。通常の診断では最終通信先まで追えず、存在さえ見透されます。
改ざんされたスクリプトが「ウイルスに感染しました」という偽の警告画面を表示し、サポートを装った電話画面へ誘導して金銭をだまし取ります。実際には感染していないため、エンドポイントセキュリティでは防げません。
IPA(情報処理推進機構)が毎年発表するランキングでも、外部スクリプトに絡む脅威が存在感を増しています。「サプライチェーンや委託先を狙った攻撃」が2位、「AIの利用をめぐるサイバーリスク」が新規3位にランクインされています。
| 順位 | 「組織」向け脅威 | 昨年 |
|---|---|---|
| 1 | ランサム攻撃による被害 | 1 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2 |
| 3 | AIの利用をめぐるサイバーリスク | NEW |
| 4 | システムの脆弱性を悪用した攻撃 | 3 |
| 5 | 機密情報を狙った標的型攻撃 | 5 |
| 6 | 地政学的リスクに起因するサイバー攻撃 | 7 |
| 7 | 内部不正による情報漏えい等 | 4 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 6 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 8 |
| 10 | ビジネスメール詐欺 | 9 |
「もし被害に遭ったら」をイメージしやすいよう、実際に発生した代表的な4つの事例を並べます。いずれも「自社サイトに脆弱性はなかった」ケースです。
被害者は、画像をスライドさせるための外部JavaScriptを使っていました。そのJavaScriptが改ざんされ、決済情報が正規の送信と同時に攻撃者にも送られていたのです。約3年間気付かず、検知のきっかけは警察からの通報でした。
決済画面のJavaScriptが改変され、正規ドメインと並行して攻撃者のドメインにもカード情報が送信される状態に。検知は社内の監視ではなく第三者からの通報でした。GDPR違反として約250億円の制裁金が通知されました(その後の事件発覚後の迅速な対応・個人補償により約30億円まで減額)。
世界で10万サイト以上が利用するCDNで、配信コードが一斉に改ざんされ、閲覧者は詐欺サイトへリダイレクトされました。原因は、ドメイン失効後に攻撃者が正規の手続きでそのドメインを取得し、「最初から悪意のあるコードを配信」したこと。送信先はgoogie-analytics.comとGoogle風のドメインで、見分けがつきませんでした。
2026年6月、国内の有名企業サイトで「不審な認証画面が表示される」事案が相次いで発生。原因は2024年のCDN事件以降もPolyfill.ioのタグを削除していなかったこと。ユーザーがWebサイトを訪れるだけで不審な画面が表示され、企業のブランド信頼が毀損される事態につながりました。
導入事例:大手製造業グループ企業(社名非公開)
「どのタグが、最終的にどこと通信しているのか」を可視化し、グループ全体のリスク管理体制を押し上げた事例です。
国内外に数百サイトを運用。マーケティング施策の拡大とともに外部スクリプトが増加し、「どのタグが、どのページに、最終的にどこへ通信しているのか」を正確に把握できない状態に。
RUM(リアルユーザーモニタリング)を活用し、広告タグ・解析タグ・SNSタグなどの通信先を継続監視。ドメイン一覧化・経路可視化・脅威DBとの照合を採用しました。
未把握だった外部ドメインを確認できるようになり、定期レポートをセキュリティ管理とマーケティングタグの棚卸し・運用改善にも活用しています。
WAF・セキュリティログ監視・脆弱性診断——いずれも「自社サーバー上で起きること」を見るための仕組みです。外部スクリプトの最終通信先は、これらの監視範囲のさらに外側で起きるため、検知できません。
自社サーバー上で発生する事象
ユーザーのブラウザでだけ起きている事象
※ CSP(Content Security Policy)やSRI(Subresource Integrity)は有効な手段ですが、完璧には防げず、管理が煩雑でWebサイトの可用性にも影響します。
外部スクリプトの最終通信先は、ユーザーのブラウザでしか見えません。だからこそ、ユーザー側に計測タグを仕掛け、「そこで何が起きているか」を収集・検証するという、本サービスのアプローチが生まれました。
RUM(リアルユーザーモニタリング)で、実際の閲覧者のブラウザで発生した全ての通信先を、多段リダイレクトも含めて記録します。
収集したドメイン・URLを複数のグローバル脅威DBと照合。タイポスクワッティング・マルウェア配信・不審なトラッキングドメインなどを検知します。
週次・月次のレポートで、リスクの推移とリストの差分を可視化。タグの棚卸し・CMP・CSP設計とも連携しやすくなります。
RUMタグ設置から、データ収集・フィルタリング・脅威データベースとの照合、定期レポートまでを、ひとつのサービスとして提供します。
検出したドメインとリスク判定結果を、以下のような定期レポートとしてご提供します。
危険ドメインが 4 件検出されました。
即時のブロック対応と、要注意 5 件の継続監視を推奨します。
一目でリスク状況を把握できる表紙〜サマリー。検出ドメイン数と脅威DBとの突合結果、リスクレベル別の内訳、主要脅威ドメインの一覧を記載します。
evil-cdn.suspicious-host.net
リスク:危険
スコア:92
| IP | 185.220.101.42 | 種別 | 外部サービス |
|---|---|---|---|
| マルウェア判定 | × 検出 | ブラックリスト | × 検出 |
| IPレピュテーション | × 検出 | 登録情報 | 登録から18日(新規) |
| 深度 | ドメイン | 種別 |
|---|---|---|
| 0 | sample.example.co.jp | Document |
| 1 | tags.example-customer.jp | Script |
| 2 | cdn.ad-network-vendor.example… | Script |
| 3 | evil-cdn.suspicious-host.net ← 対象 | Script |
metrics.suspicious-analytics.xyzリスク変動要注意 → 危険promo.fakeshop-deals.co新規出現スコア 78tracker.malvertising-net.io有効期限残り53日(26-07-25)多段リダイレクトをさかのぼり、読み込みチェーンとして可視化。前回診断との差分やドメインの有効期限も管理し、ドロップキャッチリスクを事前に押さえます。
| 初期費用 | 186,000円~ (税別) |
|---|---|
| 月額費用 | 77,500円/月~ (税別) |
| 契約期間 | 年間契約 |
| 監視仕様 | 月間1万セッションのリアルユーザーモニタリングを前提 ※週次レポートの提供(日次レポートの場合は別途見積もり) |
サービスの詳細・お見積もり・単発調査のサンプルレポートなど、どんなご相談でもお気軽にお問い合わせください。
ゴメス・コンサルティング本部の担当者が直接承ります。
必要事項をご入力のうえ送信いただくと、担当者より1営業日以内にご連絡いたします。
フォームへ進む03-5338-7436
部署直通受付時間:平日 9:30〜17:00(土日祝・年末年始を除く)