ネット通販を狙ったサプライチェーン攻撃 Magecart

オンライン上でクレジットカード情報をスキミングするマルウェアキャンペーンMagecartが再度動きを見せています。セキュリティベンダーRiskIQが同社のブログで報告しています。

Magecart Executes Scaled Supply Chain Attack on Shopper Approved

Magecartは、今年発生したブリティッシュ・エアウェイズと、チケットマスターの情報漏洩事件を引き起こしたとされています。

今回は一種のサプライチェーン・アタックが行われています。ネット通販サイトで使われる、Shopper Approvedという顧客が商品をレーティングするためのプラグインがMagecartに感染していました。

ブリティッシュ・エアウェイズ、チケットマスターおよび今回の事件は、サードパーティによるソフトウェアがハックされ、カードスキミング用のJavascriptコードを埋め込まれています。Javascriptコードは、埋め込まれた決済ページにユーザーが入力したカード情報を窃取するものでした。

ターゲットとなるネット通販サイトではなく、そこに埋め込まれるプラグインを乗っ取ることで、大規模な収奪を狙うサプライチェーン攻撃の例といえます。

今回の件では、問題のコードは容易に見つけられる状態にあったため、被害は早期に食い止められています。攻撃用コードが挿入された当初はコードの難読化がされていなく、処理内容が簡単にわかるようになっていました。RiskIQのブログでそれぞれのコードの見え方の違いが紹介されています。

また、Shoppers Approvedの利用者数に比べて影響範囲は小さかったとのことです。これには、決済ページにサードパーティ製のスクリプトを載せないショッピグカートが増えていること、スキミング用のコードがページ内のキーワードを探して動作するものだったため、合致しないページは被害を免れたことなど、複数の要因が関係しています。

注意点としては、プラグインの配布元で問題のコードが削除されたとしても、CDNのキャッシュに残っている場合があるため、疑わしい場合はキャッシュをパージする必要があります。

Magecartは7つのサイバー犯罪グループによって開発、利用されていると見られています。今後も開発が進められ、より洗練された攻撃が行われる可能性は大きいとしています。