米国の小売大手メイシーズは、ハッカーが先月8日間にわたり自社サイトにカードを盗むマルウェアスクリプトを埋め込み、顧客情報を収集したと発表した。
長年営業しているこの百貨店チェーンが掲載した通知(PDF)によると、今年10月7日から10月15日の間、同社の小売ウェブサイトのチェックアウトページでMagecartスクリプトが実行されていたという。
このスクリプトは、注文時にチェックアウトページで入力されるか、Macy's の Web サイトの「ウォレット」ページに保存されてから注文に使用されるかの 2 つの異なる方法で支払いカードの詳細を取得することができました。
「2019年10月15日、macys.comと別のウェブサイトの間に疑わしい接続があるという警告を受けました」と小売業者は感染した顧客に対し語った。
当社のセキュリティチームは直ちに調査を開始しました。調査の結果、2019年10月7日に、権限のない第三者がmacys.comの2つのページに不正なコンピュータコードを追加したと考えられます。
メイシーズの顧客にとって残念なことに、このスクリプトはカード詐欺に必要なほぼすべての情報、つまりカード番号、セキュリティコード、有効期限を取得しました。さらに、マルウェアは顧客の名前、メールアドレス、住所、電話番号も収集することができました。
メイシーズは、侵害を受けたのはウェブページのみであり、モバイルアプリで購入したユーザーは影響を受けていないと述べている。専門家によると、この攻撃はMagecartの典型的な手口だが、非常に成功したようだ。
「Magecart」と「bulletproof」が同じ文に出てくるのは決して良いことではありませんが、ここではそうなっています
続きを読む
「メイシーズへのサイバー攻撃で悪意のあるMagecartの脅威アクターが使用した攻撃手法の基本と難読化されたJavascriptコードは、共通のjs/utilsリポジトリの一部であるClientSideErrorLog.jsファイルを含むメイシーズのウェブサイト上の2つのファイルに変更を加えるもので、新しいものではなく、ここ数ヶ月で確認されている他の多くのMagecart攻撃の亜種で使用されているデジタルスキミング手法とコードに似ているようです」とSecuronix脅威研究ラボのオレグ・コレスニコフ氏は説明した。
攻撃に使用されたインフラ(barn-x.comドメインや、メイシーズへの攻撃が実行される数週間前の2019年9月末にセットアップされたcPanelインストールの一部としてカスタマイズされたanalysis.phpスクリプトなど)も、以前の攻撃の一部で使用されたものと類似しているように見える。これは、メイシーズへの標的型攻撃というよりも、悪意のある脅威アクターによって特定された特定の脆弱なコンポーネントを狙った、日和見的なサイバー攻撃であった可能性が高いことを示している。
このようなMagecart攻撃が成功し続けていることは、小売業者とセキュリティプロバイダーの両方にとって悪い兆候です。コードはWebページに直接密かに挿入できるため、Magecart攻撃はPOSマルウェアやサーバーのファームウェア内に潜伏する必要がある感染よりも発見が困難です。
攻撃の被害に遭ったメイシーズの顧客(人数は明らかにされていない)は、今後数か月間、銀行の取引明細書を注意深く監視するか、銀行カードを完全に交換することをお勧めします。®
