外部スクリプト監視サービス EXTERNAL SCRIPT URL MONITORING そのタグ、どこにつながっていますか。
見えない外部スクリプトのリスクを、RUMで実証、可視化します。

その「外部タグ」、本当に安全ですか?

見えない「サプライチェーンリスク」を
可視化・検知します。

Polyfill.io、Webスキミング、サポート詐欺——自社サイトに脆弱性がなくても被害は起きる時代へ。

OVERVIEW 概要

なぜ今、外部スクリプト対策が必要なのか

自社サイトに脆弱性がなくても、被害は起こる。これが、近年のWebセキュリティの新しい現実です。

広告配信、アクセス解析、チャットボット、動画配信、SNS連携──。現代のWebサイトは、数十~数百もの外部スクリプトによって成り立っています。しかし企業が管理できるのは自社サーバーまで。配信元のCDNや、運営事業者のコードまでは管理が及びません

その結果、改ざん・CDN乗っ取り・サプライチェーン攻撃・不正リダイレクトといった経路で、サイト訪問者から情報が抜き取られたり、詐欺サイトへ誘導されたりするケースが急増しています。Polyfill.io問題をはじめ、2024年以降は国内外で多数の被害事例が報告されており、もはや「対岸の火事」ではありません。

RUM
とは?
RUM(Real User Monitoring/リアルユーザーモニタリング)は、実際にサイトを訪れたユーザーのブラウザ上で起きていることを、計測タグを介して収集する手法です。本サービスでは、RUMによって「ユーザーのブラウザでしか見えない、外部スクリプトの最終通信先」を、実データに基づいて記録・可視化します。

Webサイトの70%以上は、自社管理外のコードでできている

外部スクリプトは、Webサイトを構成するコードの7割以上を占めます

30% 自社コード
70%以上 外部スクリプト(自社管理外)

※HTTP Archive「Web Almanac 2024」より当社推計

従来の対策では、この「7割」を守れない

脆弱性診断・WAF・改ざん検知といった従来のセキュリティ対策は、自社サーバー上のコードを守るためのものです。配信元の外部スクリプトには手が届かないため、4つの限界があります。

01

自社で脆弱性診断できる範囲は限られる

診断対象は自社サーバーとWebアプリケーションのみ。外部配信基盤は権限外のため、診断の対象外となります。

02

外部スクリプト本体に診断は仕掛けられない

運営事業者のサーバーを勝手にスキャンすることはできず、配信元での改ざんやサプライチェーン攻撃には気付けません。

03

CSP・SRIは「使いこなす」のが難しい

CSP(Content Security Policy)やSRIは有効だが、設定ミスでサイトが壊れるリスクがあり、頻繁に更新されるタグとの相性も悪く、完璧には防げません。

04

多段リダイレクトの最終通信先まで追う必要がある

タグがタグを呼ぶ多段構造の最終ドメインまで追跡できなければ、本当のリスクは見抜けません。

SECURITY RISKS & CASES リスクと急増する被害事例

外部タグがもたらす代表的な3つのリスク

外部タグの見えない脅威は、個人情報流出・ブランド毀損・集団訴訟リスクに直結します。近年実際に発生している代表的な3つの攻撃パターンをご紹介します。

01
WEB SKIMMING

Webスキミング

攻撃者は決済ページの入力フォームを狙い、読み込まれるJavaScriptを改ざん。ユーザーが入力したカード番号や個人情報が、正規の送信と同時に攻撃者サーバーへも送り出されるため、サイト側では気付きにくいのが特徴です。

02
MALICIOUS REDIRECT

悪性サイトへの誘導

タグが別のタグを呼び、そのタグがさらに別のタグを呼ぶ…という多段リダイレクト構造により、ユーザーはフィッシングサイトやマルウェアサイトへ誘導されます。通常の診断では最終通信先まで追えず、存在さえ見透されます。

03
FAKE SUPPORT SCAM

サポート詐欺(偽警告)

改ざんされたスクリプトが「ウイルスに感染しました」という偽の警告画面を表示し、サポートを装った電話画面へ誘導して金銭をだまし取ります。実際には感染していないため、エンドポイントセキュリティでは防げません。

国も警鐘:IPA「情報セキュリティ10大脅威2026(組織編)」

IPA(情報処理推進機構)が毎年発表するランキングでも、外部スクリプトに絡む脅威が存在感を増しています。「サプライチェーンや委託先を狙った攻撃」が2位、「AIの利用をめぐるサイバーリスク」が新規3位にランクインされています。

順位「組織」向け脅威昨年
1ランサム攻撃による被害1
2サプライチェーンや委託先を狙った攻撃2
3AIの利用をめぐるサイバーリスクNEW
4システムの脆弱性を悪用した攻撃3
5機密情報を狙った標的型攻撃5
6地政学的リスクに起因するサイバー攻撃7
7内部不正による情報漏えい等4
8リモートワーク等の環境や仕組みを狙った攻撃6
9DDoS攻撃(分散型サービス妨害攻撃)8
10ビジネスメール詐欺9

実際に起きている被害事例

「もし被害に遭ったら」をイメージしやすいよう、実際に発生した代表的な4つの事例を並べます。いずれも「自社サイトに脆弱性はなかった」ケースです。

01
E-COMMERCE
2024
オンラインストアの決済画面から、ひっそりと情報が抜かれていた
大手コーヒーショップ オンラインストア 情報漏洩

被害者は、画像をスライドさせるための外部JavaScriptを使っていました。そのJavaScriptが改ざんされ、決済情報が正規の送信と同時に攻撃者にも送られていたのです。約3年間気付かず、検知のきっかけは警察からの通報でした。

個人情報 92,685名 カード情報 52,958名 3年間 検知不能
02
AIRLINE
2018
航空券購入の決済画面から、カード情報がコピーされていた
英国航空会社 カード情報漏洩

決済画面のJavaScriptが改変され、正規ドメインと並行して攻撃者のドメインにもカード情報が送信される状態に。検知は社内の監視ではなく第三者からの通報でした。GDPR違反として約250億円の制裁金が通知されました(その後の事件発覚後の迅速な対応・個人補償により約30億円まで減額)。

429,612人に影響 15日間 漏洩継続 制裁金 約30億円
03
CDN SUPPLY CHAIN
2024
CDN経由で悪意のある外部JavaScriptが一斉配信され、詐欺サイトへ誘導
Polyfill.io(CDN)一斉リダイレクト事件

世界で10万サイト以上が利用するCDNで、配信コードが一斉に改ざんされ、閲覧者は詐欺サイトへリダイレクトされました。原因は、ドメイン失効後に攻撃者が正規の手続きでそのドメインを取得し、「最初から悪意のあるコードを配信」したこと。送信先はgoogie-analytics.comとGoogle風のドメインで、見分けがつきませんでした。

世界10万サイト以上 ドロップキャッチ手口

【警鐘】Polyfill.io 被害の再燃(2026年6月)

「使っていない古いタグ」の放置が、今も被害を生んでいる

2026年6月、国内の有名企業サイトで「不審な認証画面が表示される」事案が相次いで発生。原因は2024年のCDN事件以降もPolyfill.ioのタグを削除していなかったこと。ユーザーがWebサイトを訪れるだけで不審な画面が表示され、企業のブランド信頼が毀損される事態につながりました。

導入事例:大手製造業グループ企業(社名非公開)

「どのタグが、最終的にどこと通信しているのか」を可視化し、グループ全体のリスク管理体制を押し上げた事例です。

01導入前の課題

国内外に数百サイトを運用。マーケティング施策の拡大とともに外部スクリプトが増加し、「どのタグが、どのページに、最終的にどこへ通信しているのか」を正確に把握できない状態に。

02導入内容

RUM(リアルユーザーモニタリング)を活用し、広告タグ・解析タグ・SNSタグなどの通信先を継続監視。ドメイン一覧化・経路可視化・脅威DBとの照合を採用しました。

03導入効果

未把握だった外部ドメインを確認できるようになり、定期レポートをセキュリティ管理とマーケティングタグの棚卸し・運用改善にも活用しています。

SERVICE DETAIL サービス詳細

従来サービスでは、そもそも監視できない

WAF・セキュリティログ監視・脆弱性診断——いずれも「自社サーバー上で起きること」を見るための仕組みです。外部スクリプトの最終通信先は、これらの監視範囲のさらに外側で起きるため、検知できません。

SCOPE A

従来サービスの監視範囲

自社サーバー上で発生する事象

person
ユーザーブラウザからアクセス
shield
WAF不正リクエストをブロック
dns
Webサーバー / アプリ / DB自社脆弱性診断・ログ監視の対象
check_circleここの動きは見えている
ブラウザは、さらに外部とも通信している
SCOPE B

従来サービスの監視では見えない領域

ユーザーのブラウザでだけ起きている事象

code
外部スクリプトの読み込み広告JS・計測タグ・CDN配信
cached
多段リダイレクトタグがタグを呼ぶ連鎖
gpp_bad
最終通信先攻撃者ドメイン・詐欺サイトへ誘導
visibility_offここの動きは見えていない
×
WAF外部スクリプトへの通信はWAFを通らない
×
セキュリティログ監視外部スクリプトのログは自社にない
×
脆弱性診断スキャニングでは最終通信先は捕捉できない

※ CSP(Content Security Policy)やSRI(Subresource Integrity)は有効な手段ですが、完璧には防げず、管理が煩雑でWebサイトの可用性にも影響します。

「ユーザーのブラウザ」から見る、という発想の転換

外部スクリプトの最終通信先は、ユーザーのブラウザでしか見えません。だからこそ、ユーザー側に計測タグを仕掛け、「そこで何が起きているか」を収集・検証するという、本サービスのアプローチが生まれました。

01 FEATURE

実ユーザー通信を「そのまま」可視化

RUM(リアルユーザーモニタリング)で、実際の閲覧者のブラウザで発生した全ての通信先を、多段リダイレクトも含めて記録します。

02 FEATURE

複数の脅威DBで高精度に判定

収集したドメイン・URLを複数のグローバル脅威DBと照合。タイポスクワッティング・マルウェア配信・不審なトラッキングドメインなどを検知します。

03 FEATURE

定期レポートで継続ケア

週次・月次のレポートで、リスクの推移とリストの差分を可視化。タグの棚卸し・CMP・CSP設計とも連携しやすくなります。

外部スクリプト監視サービスの仕組み

RUMタグ設置から、データ収集・フィルタリング・脅威データベースとの照合、定期レポートまでを、ひとつのサービスとして提供します。

RUMデータから危険ドメインを検知するまでのフロー

code
RUMタグ設置
貴社Webサイトにタグを設置
east
cloud_sync
通信情報を収集
ユーザーのブラウザで実行される通信情報を収集
east
filter_alt
外部スクリプトのみ抽出
RUMデータレイクからフィルタリング
verified_user
脅威DBと照合
複数の脅威データベースを参照
east
flag
リスク判定
ドメイン・URL・リスクレベルを判定
east
summarize
定期レポート報告
悪性URL・ドメインの判定結果を定期報告

レポートサンプル

検出したドメインとリスク判定結果を、以下のような定期レポートとしてご提供します。

サンプル本番サイト(demo)
2026-06-02 17:01 JST
External Script URL Monitor
リスク概況

危険ドメインが 4 件検出されました。
即時のブロック対応と、要注意 5 件の継続監視を推奨します。

4
危険要対処
5
要注意継続監視
46
安全
0
未確認
危険 4件 (7.3%)
要注意 5件 (9.1%)
安全 46件 (83.6%)
検知シナリオ別件数
  • マルウェア配布の疑い9件
  • 新規登録ドメイン4件
  • 既知CVE検出3件
  • 悪性ドメインリスト一致3件
  • 有効期限切れ・期限間近4件
  • IP 悪用報告4件
© Broadband Security, Inc. Confidential 3 / 20
SAMPLE 01

リスク概況サマリー

一目でリスク状況を把握できる表紙〜サマリー。検出ドメイン数と脅威DBとの突合結果、リスクレベル別の内訳、主要脅威ドメインの一覧を記載します。

  • 診断対象・期間・総ドメイン数とリスクサマリー
  • リスクレベル別の可視化チャート(ドーナツ)
  • 主要な脅威ドメイン・IP・スコアと判定根拠
サンプル本番サイト(demo)
2026-06-02 17:01 JST
External Script URL Monitor
ドメイン別 詳細 / 読み込みチェーン
1. evil-cdn.suspicious-host.net リスク:危険 スコア:92
IP185.220.101.42種別外部サービス
マルウェア判定× 検出ブラックリスト× 検出
IPレピュテーション× 検出登録情報登録から18日(新規)
読み込みチェーン
深度ドメイン種別
0sample.example.co.jpDocument
1tags.example-customer.jpScript
2cdn.ad-network-vendor.example…Script
3evil-cdn.suspicious-host.net ← 対象Script
前回からの変化 / ウォッチリスト
metrics.suspicious-analytics.xyzリスク変動要注意 → 危険
promo.fakeshop-deals.co新規出現スコア 78
tracker.malvertising-net.io有効期限残り53日(26-07-25)
© Broadband Security, Inc. Confidential 8 / 20
SAMPLE 02

詳細レポートと継続監視

多段リダイレクトをさかのぼり、読み込みチェーンとして可視化。前回診断との差分やドメインの有効期限も管理し、ドロップキャッチリスクを事前に押さえます

  • ドメイン別の診断項目と読み込みチェーン
  • 前回診断との差分(新規・リスク変動・削除)
  • ドメイン有効期限アラート(ドロップキャッチ対策)

PROCESS 実施プロセス

STEP 1タグ設置・現状確認
RUMタグの設置
貴社Webサイトの監視対象ページにRUMタグを設置
既存タグ・スクリプトの棚卸し
監視範囲・対象ドメインのご確認
STEP 2収集・分析
通信データの収集と判定
リアルユーザー通信から外部スクリプト通信を抽出
複数の脅威データベースと照合し悪性度を判定
リダイレクトチェーンの追跡
STEP 3レポート報告・改善
定期レポートと改善提案
週次/月次でリスクレポートを納品
不審ドメインの即時アラート
タグ運用改善・ドロップキャッチ対策の提案

PRICE 期間・料金

サービス価格

初期費用 186,000円~ (税別)
月額費用 77,500円/月~ (税別)
契約期間 年間契約
監視仕様 月間1万セッションのリアルユーザーモニタリングを前提
※週次レポートの提供(日次レポートの場合は別途見積もり)

FAQ よくあるご質問

QRUMタグを設置すると、サイトの表示速度に影響はありますか?
A
当社のRUMタグは軽量・非同期で読み込まれるため、ユーザー体験やCore Web Vitalsへの影響はほぼありません。タグ設置前後でパフォーマンスを計測し、影響がないことを検証している企業さまも多くいらっしゃいます。
QすでにWAFや脆弱性診断を導入しています。それでは不十分でしょうか?
A
WAF・脆弱性診断は「自社サーバー」を守るための仕組みで、外部スクリプトの最終通信先はそれらの監視範囲の外で起きています。大手コーヒーショップやPolyfill.io事件は、いずれも「自社診断では見つからない」レイヤーで起きた事案です。だからこそ、RUMで補完する価値があります。
QCSP(Content Security Policy)を使えば防げるのでは?
A
CSP・SRIは有効な手段ですが、設定ミスでサイトが壊れるリスクが高く、広告タグや動画タグなど頻繁に更新されるタグとの相性が悪いという課題があります。本サービスは、まず「何が起きているかを見える化する」状態をつくるためのもので、CSP設計の上流工程としても有効に機能します。
Q単発調査を申し込んでから、レポート受け取りまでの期間はどれくらいですか?
A
タグ設置からデータ収集・分析を含めておよそ3~4週間を見ていただいています。タグ設置をご自社で行う場合と、タグマネジャー経由で行う場合でスケジュールが変わりますので、詳細はお問い合わせください。
Q多言語サイトや複数ドメインにも対応していますか?
A
はい、対応しています。国外拠点サイトやサブドメインを含むグループ企業全体の一括導入の実績もございます。ドメイン数やセッション数に応じてボリュームディスカウントもご提案可能です。
Q危険なドメインが検出されたときの対応はどうすれば良いですか?
A
レポートにはタグ棚卸し・削除のご提案まで含みます。さらに、ゴメス・コンサルティング本部と連携したWebガバナンス見直しや、グループ会社の脆弱性診断・インシデント対応にもスムーズにつなげられます。

CONTACT お問い合わせ

サービスの詳細・お見積もり・単発調査のサンプルレポートなど、どんなご相談でもお気軽にお問い合わせください。
ゴメス・コンサルティング本部の担当者が直接承ります。

受付時間:平日 9:30〜17:00(土日祝・年末年始を除く)