クレジットカード情報をスキミングする Magecart マルウェアが、さらに多くのウェブサイト、今回は 55 か国の 570 のウェブサイトで発見されたことが今週明らかになった。
セキュリティ企業ジェミニ・アドバイザリーのチームは、「キーパー」と呼ばれる長年活動している犯罪組織が過去3年間に数百のオンラインショッピングサイトに侵入し、悪質なソフトウェアをインストールしたと述べた。
感染したサイトの85%は、eコマース企業に人気があり、これらのサイトでも使用されているオープンソースのコンテンツ管理システム(CMS)Magentoの既知の脆弱性をハッカーが悪用したことで発生したと伝えられています。WordPressとShopifyも一部で悪用されましたが、Magentoに大きく差をつけられ、それぞれ約5%を占めるにとどまりました。Magecartはウェブストアの支払いページにJavaScriptを隠蔽し、被害者が商品購入時にフォームに銀行カード情報などの個人情報を入力すると、そのデータが詐欺師に盗まれ、悪用される仕組みです。
Keeperは、活動拠点としてfileskeeper[.]orgを繰り返し利用していることから、Magecartをカード情報の収集手段として好んで採用している数ある不正グループの一つです。通常、カードスキミングコードは感染サイトのウェブページにそのまま埋め込まれ、入力されたデータのみを収集します。しかし、Gemini Advisoryによると、このマルウェアのJavaScriptがステガノグラフィーを用いてページ上の企業ロゴやその他の画像ファイルに埋め込まれ、必要に応じて抽出されることで容易に検出を逃れている事例が確認されています。
多くの場合、これらのサイトは専任のITセキュリティ担当者がほとんどいない、あるいは全くいない小規模な小売業者のサイトであり、CMSのセキュリティホールを定期的に修正する余裕がないことがほとんどです。そのため、Keeperのようなカードスワイプ業者にとって、これらのサイトは格好の餌食となります。
Magecartマルウェアはカード情報を盗み出し、英国のオンライン小売業者Páramoのセキュリティスキャンを8か月近く回避していた。
続きを読む
被害に遭っているかどうかを確認したい企業は、感染ドメインのリストをこちらからダウンロードできます[PDF]。また、感染したサイトで買い物をし、カード情報をサイバー犯罪者に渡してしまったのではないかと心配な場合は、リストもご確認ください。
感染サイトの4分の1以上はアメリカに集中しており、次いでイギリス、オランダとなっています。フランス、インド、ブラジルのサイトでも多数の感染が確認されています。
「2020年半ば、Magecart攻撃は米国だけでなく世界中の中小規模のeコマース企業にとって日常的な出来事となっている」と、Geminiアドバイザリーチームは火曜日に述べた。「時代遅れのCMSを運用したり、パッチ未適用のアドオンを利用したり、Sequelインジェクションによって管理者の認証情報が侵害されたりすると、eコマース事業者は様々な攻撃ベクトルに対して脆弱な状態に陥る可能性がある。」
ジェミニ・アドバイザリーは、2018年7月から2019年4月までに570のサイトが攻撃者に約18万4000枚のカード情報を提供できたと見積もっている。3年間の作戦期間で推定すると、ダークウェブ上で獲得したカード情報の総量は約700万ドルと推定される。
皮肉なことに、この攻撃が発覚したのは、Keeperグループが自らのインフラを適切に保護していなかったためです。2019年4月24日、研究者たちは、犯罪者が感染サイトの管理に使用していた、設定が不十分なコントロールパネルに侵入することに成功しました。このパネルを用いて、Gemini Advisoryのチームは前述のスキミングされたクレジットカード情報のキャッシュを発見しました。
伝えられるところによると、パネルは、Keeper クルーの Magecart オペレーション全体を収容する単一のサーバー上でホストされていた。そのサーバーには、前述の .org を含む約 137 のドメインがホストされており、そのうち 64 はサイトに悪意のあるコードを挿入する専用で、73 はネットユーザーのカード データの抜き取りを処理する任務を負っていた。
現在、注入・収集サーバーはアクティブなままだが、ジェミニ・アドバイザリーの広報担当者はThe Registerに対し、法執行機関に通報したと語った。®
