ネット通販を狙ったサプライチェーン攻撃 Magecart

2018.10.11 岡山大

オンライン上でクレジットカード情報をスキミングするマルウェアキャンペーンMagecartが再度動きを見せています。セキュリティベンダーRiskIQが同社のブログで報告しています。

Magecart Executes Scaled Supply Chain Attack on Shopper Approved

Magecartは、今年発生したブリティッシュ・エアウェイズと、チケットマスターの情報漏洩事件を引き起こしたとされています。

今回は一種のサプライチェーン・アタックが行われています。ネット通販サイトで使われる、Shopper Approvedという顧客が商品をレーティングするためのプラグインがMagecartに感染していました。

ブリティッシュ・エアウェイズ、チケットマスターおよび今回の事件は、サードパーティによるソフトウェアがハックされ、カードスキミング用のJavascriptコードを埋め込まれています。Javascriptコードは、埋め込まれた決済ページにユーザーが入力したカード情報を窃取するものでした。

ターゲットとなるネット通販サイトではなく、そこに埋め込まれるプラグインを乗っ取ることで、大規模な収奪を狙うサプライチェーン攻撃の例といえます。

今回の件では、問題のコードは容易に見つけられる状態にあったため、被害は早期に食い止められています。攻撃用コードが挿入された当初はコードの難読化がされていなく、処理内容が簡単にわかるようになっていました。RiskIQのブログでそれぞれのコードの見え方の違いが紹介されています。

また、Shoppers Approvedの利用者数に比べて影響範囲は小さかったとのことです。これには、決済ページにサードパーティ製のスクリプトを載せないショッピグカートが増えていること、スキミング用のコードがページ内のキーワードを探して動作するものだったため、合致しないページは被害を免れたことなど、複数の要因が関係しています。

注意点としては、プラグインの配布元で問題のコードが削除されたとしても、CDNのキャッシュに残っている場合があるため、疑わしい場合はキャッシュをパージする必要があります。

Magecartは7つのサイバー犯罪グループによって開発、利用されていると見られています。今後も開発が進められ、より洗練された攻撃が行われる可能性は大きいとしています。

サプライチェーンリスクとは？重要性と対策をわかりやすく解説

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む