組織の Amazon Web Services S3 バケットを担当している場合、セキュリティ設定を確認する新たな動機があります。悪名高いクレジットカード情報を盗む Magecart マルウェアが、保護されていないストレージ サイロを荒らし回っているからです。
サンフランシスコに拠点を置く RiskIQ の情報セキュリティ調査員は今週、サイトをホストしているストレージ バケットが誤って公開書き込みアクセスが有効になったために、17,000 もの Web サイトにソフトウェアの脆弱性が埋め込まれたと報告しました。
犯罪者はこれらの誤った設定を悪用してクライムウェアをウェブページに忍び込ませ、支払いページに入力した銀行カードの詳細を盗み出し、その詳細を首謀者に渡していました。
RiskIQ によると、Magecart のオペレーターは 4 月以来、Shodan または類似のスキャン ツールを使用して、誰でもファイルを表示および編集できるパブリック インターネット上のオープン S3 バケットを自動的に探していたという。
「攻撃者は設定ミスのあるバケットを見つけると、.jsで終わるJavaScriptファイルを探してスキャンします」と、RiskIQのYonathan Klijnsma氏は概要レポートの中で述べています。「そして、これらのJavaScriptファイルをダウンロードし、スキミングコードを末尾に追加して、バケット上のスクリプトを上書きします。」
詐欺師
犯罪者は、Magecartに感染したJavaScriptファイルの一部が、オンライン注文や定期購入のチェックアウトページなど、カード決済を扱うウェブページで利用されることを狙っています。ウェブページに読み込まれたMagecartコードは、カード情報の入力を静かに待ち、密かにその機密情報を収集して詐欺師に送信します。
当然ながら、この手法はあまり正確ではなく、成功率も低いですが、プロセスを自動化できるため、大量攻撃のコストも低くなります。
「攻撃者はスキマーコードを何千ものウェブサイトに拡散することに成功しているが、リーチを優先してターゲットを絞ることを犠牲にしている」とクリンスマ氏は指摘した。
「攻撃者はできるだけ広範囲に攻撃を仕掛けるためにこの手法を使用したが、侵害されたスクリプトの多くは支払いページで読み込まれなかった。」
チケットマスターは顧客に、サイトのMagecartマルウェアによる乗っ取りは自社の責任ではないと伝える
続きを読む
しかし、脆弱な S3 バケットが多数存在するため、散発的なアプローチにより、犯罪者は個々のサイトを調査するよりもはるかに速く Magecart を何千ものサイトに侵入させることができます。
幸いなことに、管理者が社内のS3バケット全体を把握し、アクセスできれば、この問題は簡単に解決できます。個人情報を含むバケットはパブリックアクセスを無効にし、インターネットからアクセスする必要があるバケットは書き込み権限を厳しく制限する必要があります。
自分のサイトが感染している可能性があると懸念している場合には、(徹底的な調査を行い、当局に報告した後) S3 サイロをクリーンアップし、クリーンであることがわかっているバックアップで補充することをお勧めします。
「バケットを空にしてリソースを新たにデプロイするか、新しいバケットを設定することをお勧めします」とKlijnsma氏は述べた。
「お客様はバケットのバージョン管理を有効にして、オブジェクトを既知の正常なバージョンにロールバックすることもできます。」®
