オンライン上でクレジットカード情報をスキミングするマルウェアキャンペーンMagecartが再度動きを見せています。セキュリティベンダーRiskIQが同社のブログで報告しています。
Magecart Executes Scaled Supply Chain Attack on Shopper Approved
Magecartは、今年発生したブリティッシュ・エアウェイズと、チケットマスターの情報漏洩事件を引き起こしたとされています。
今回は一種のサプライチェーン・アタックが行われています。ネット通販サイトで使われる、Shopper Approvedという顧客が商品をレーティングするためのプラグインがMagecartに感染していました。
ブリティッシュ・エアウェイズ、チケットマスターおよび今回の事件は、サードパーティによるソフトウェアがハックされ、カードスキミング用のJavascriptコードを埋め込まれています。Javascriptコードは、埋め込まれた決済ページにユーザーが入力したカード情報を窃取するものでした。
ターゲットとなるネット通販サイトではなく、そこに埋め込まれるプラグインを乗っ取ることで、大規模な収奪を狙うサプライチェーン攻撃の例といえます。
今回の件では、問題のコードは容易に見つけられる状態にあったため、被害は早期に食い止められています。攻撃用コードが挿入された当初はコードの難読化がされていなく、処理内容が簡単にわかるようになっていました。RiskIQのブログでそれぞれのコードの見え方の違いが紹介されています。
また、Shoppers Approvedの利用者数に比べて影響範囲は小さかったとのことです。これには、決済ページにサードパーティ製のスクリプトを載せないショッピグカートが増えていること、スキミング用のコードがページ内のキーワードを探して動作するものだったため、合致しないページは被害を免れたことなど、複数の要因が関係しています。
注意点としては、プラグインの配布元で問題のコードが削除されたとしても、CDNのキャッシュに残っている場合があるため、疑わしい場合はキャッシュをパージする必要があります。
Magecartは7つのサイバー犯罪グループによって開発、利用されていると見られています。今後も開発が進められ、より洗練された攻撃が行われる可能性は大きいとしています。
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- サプライチェーン攻撃
