Magecart と呼ばれるクレジットカード情報を盗み取るマルウェアが、今度はウェブサイトの顧客評価プラグインである Shopper Approved で再び出現しました。
Shopper Approvedは、数百のeコマースサイトで使用されているツールキットですが、スパイウェア「MageCart」に感染していました。この感染により、サイバー犯罪者は顧客評価プラグインを使用してウェブページに入力されたクレジットカード情報を盗み出すことが可能になったと、情報セキュリティ企業のRiskIQが今週報じました。9月15日に初めて確認されたこの感染は、夏にTicketmasterに対して発生したサイバー攻撃に酷似しており、後に発生した、より高度で注目を集めたブリティッシュ・エアウェイズの乗客への攻撃とは大きく異なります。
これらのケースではいずれも、サードパーティ製のソフトウェアコンポーネントがハッキングされ、そのコンポーネントを埋め込んだウェブサイトの支払いページにクレジットカードスキミング用のJavaScriptコードが埋め込まれていました。つまり、犯罪者はこれらのソフトウェアアドオンをホストするサーバーに侵入し、JavaScriptを改変することで、乗っ取ったアドオンを使用しているウェブサイトで被害者が入力した金融データを、ハッカーが管理するシステムに密かに、かつ秘密裏にアップロードしていたのです。
このケースでは、当初、データ窃盗犯はミスを犯し、カード情報を吸い取るコードがはっきりと目に見える形で残っていました。しかし、このミスはすぐに犯人に見抜かれ、ひそかに修正されました。
状況はさらに悪化するだろう
Magecartとは、単一のサイバー犯罪者グループではなく、悪意のあるソフトウェアのツールキットと、このコードを展開する6つの犯罪者グループを指します。「Magecart傘下の6つのグループは活動を強化しており、攻撃のたびに巧妙になり、多くの場合、より洗練されています」とRiskIQのヨナサン・クリンスマ氏は警告しています。
「Magecartグループはeコマースに対して全面的な攻撃を仕掛けており、その勢いは止まる気配がありません。グループがより効果的な攻撃方法を習得するにつれて、攻撃はますます勢いを増しています。」
RiskIQはShopper Approvedと協力し、感染の阻止と修復に取り組みました。感染は9月中旬までに鎮圧され、今週火曜日にRiskIQは調査結果を公表することができました。
ブリティッシュ・エアウェイズやチケットマスターを乗っ取ったカード窃盗コードが、ハッキングされたJS経由で他のサイトにも出現
続きを読む
エル・レグ社は、米国に拠点を置くショッパー・アプルーブド社に対し、ネットワーク侵入による影響をどのように処理したか、また顧客にどのようなアドバイスをしたかを説明するよう求めた。
Shopper Approvedの広報担当者はThe Register紙への声明で、「この事象を把握した時点で、直ちに社内調査を開始し、大手ITフォレンジック企業に調査の支援を依頼し、問題の修復とウェブサイトおよびShopper Approvedシールのセキュリティ機能強化のための措置を講じました。さらに、RiskIQの研究者と緊密に連携し、問題の理解を深め、将来同様の事象が発生しないよう対策を講じています」と述べました。
このインシデントは、ウェブサイトでShopper Approvedのシールをご利用いただいているお客様のうち、ごく一部にのみ影響を及ぼしました。影響を受けたと思われるお客様には、すでに直接ご連絡を差し上げております。Shopper Approvedにとって、システムとお客様のセキュリティは最優先事項であり、このインシデントによりご不便をおかけしたことをお詫び申し上げます。®
ブートノート
セキュリティ研究者のウィレム・デ・グルート氏によると、Magecart は検出を回避するためにますます巧妙な手法を使っているとのことです。
