Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

広告パートナーのサプライチェーン攻撃

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。

thehackernews.com

 

最も悪名高いハッキンググループの1つであるMagecartが再び攻撃し、安全性の低いEコマースWebサイトからクレジットカード情報を盗むことを専門としています。
RiskIQおよびTrend Microのセキュリティ研究者によると、「Magecart Group 12」というラベルが付けられたMagecartの新しいサブグループのサイバー犯罪者は、最近、サプライチェーン攻撃を利用して約277のEコマースWebサイトの攻撃に成功しました。
Magecartは、昨年Ticketmaster、British Airways、Neweggなどの大企業を相手に攻撃を行ったことで報道された、同じグループのデジタルクレジットカードスキマーです。
通常、MagecartハッカーEコマースサイトを侵害し悪意のあるJavaScriptコードをチェックアウトページに挿入してサイトで購入している顧客の支払い情報を黙って取り込み、攻撃者のリモートサーバーに送信します

 

しかし、両社の研究者は、標的とするWebサイトを直接侵害する代わりに、そのスキミングコードを第三者JavaScriptライブラリにハッキングして挿入し、そのスクリプトを使用するすべてのWebサイトが悪意のあるコードをロードできるようにしました。

(The Hacker News記事より引用)※機械翻訳

 

◆キタきつねの所感

この前段の攻撃手法、偽決済ページ(あるいは決済ページ)からJavascriptでクレジット情報を窃取する攻撃が、日本でもSOKAオンラインでの被害を始め、月に1回程度出てきている手法です。この攻撃に対してはWeb改ざん検知が対策手法としては有効で、ある意味普通のWebセキュリティ対策をしていれば十分に防げる(であろう)攻撃です。

foxsecurity.hatenablog.com

 

今回報じられた手法は、もっと込み入っています。初心者レベルのハッカースクリプトキディ)には難しいかと思いますが、1度の攻撃でかなりの”収穫”を上げられる事から、クレジットカード情報だけでなく、個人情報まで範囲を広がった場合には、別な形で大きな事件が出てくる事もありえます。

詳しくは、元記事を見てもらった方が(技術的な部分は)早いかと思いますが、広告用の外部ライブラリを侵害し、クレジットカード情報らしきデータを検出し、スキミング(窃取)したデータを(HTTP POST)でリモートサーバに送信します。

広告表示は多くのサイトが利用しています。広告効果を上げるために、分析用の外部サービスを利用している場合もあるかも知れません。これらのサイト自体は安全な所と契約しているかと思います(Trust)。しかし広告主であったり、広告主の先が何につながっている、あるいはどういった外部ライブラリを使っているか?といったチェーン部分(関連先)について、知っているかといえば、ほとんど知らない事を突いた攻撃と言えます。これはサプライチェーン攻撃といっても過言ではありません。

 

DataSign社の太田さんの講演で、こうしたJavaScriptのリスクについて聞いた事があったのですが、日本でもインシデント事例がいつ出てきてもおかしくない状況なのだと思います。下記に、その講演内容と同じ趣旨の内容がありましたので引用しますと、

pcireadycloud.com

また、JavaScriptの外部リクエストを悪用することで、サイト管理者に気付かれず、特定のJavaScriptをユーザーが見ているWebページに送信し、実行できてしまうという大きな問題がある。
最近は、「無料です」「こんなデータ解析が可能になります」「JavaScriptタグをたった1行挿入するだけで使えます」という売り文句で、さまざまな解析を行うサービスがある。よく調べずにこうしたサービスを利用してしまうと、悪意あるJavaScriptを送り込まれてサイトのユーザーが危険に晒される可能性がある
JavaScriptの外部リクエストを利用したカード情報の流出事件については、まだ公式には確認されていない。だが、ひとたび悪意あるJavaScriptが実行されてしまえば、ページの改竄、画面の操作、フィッシングサイトなどへの自動遷移、入力フォームの送信先の変更などができてしまう。
実際に、サーバーに侵入され、JavaScriptを不正に改ざんされ、カード情報が盗まれるという被害は過去にいくつか起きている。カード情報入力フォームのJavaScriptソースコードを改ざんし、PSPの正規のサーバーと悪意のある情報収集用のサーバーに同時に送信し、カード情報を盗むという手口である。このケースは、正規の決済は継続しており、ECサイト側にはその通信のログが残らないため、発覚に時間がかかることが多い。サーバーに侵入してページの改ざんをしなくても、同様のことが発生するリスクを前述のJavaScriptの外部リクエストは孕んでいる。
広告代理店などに丸投げをして、言われるままに外部のJavaScriptを挿入することは非常に危険です。悪意のある外部サービスが紛れ込むことも考えられますし、正規のサービスも攻撃を受けて乗っ取られてしまえば、やりたい放題になってしまいます」(太田)。

PCI DSS Ready Cloud記事より引用)

どうやらBritishi Airways等の事件は、この攻撃の成功例の様です。(上記記事では事例は確認されてないと書かれていますが・・・)

 

広告や分析のJavascriptが参照する外部ライブラリまで考慮するとなると、従来のセキュリティ対策(例えばWeb改ざん検知)だけでは対応ができないかも知れません。

一番良いのは、Javascriptを使ったサービスを使わない事な気がしますが(特に決済や個人情報が絡む場合)、それでは自社のECサイトの成長戦略が描けない企業も多いかと思います。

 

太田さんの講演で「お試しがあると」言われていたな・・とふと思い出したのですが、一度、自社サイトがどんなところと通信しているのか確認してみるのも、良い手かも知れません。

 

 

URLでお試し分析機能が提供されていますので、気になる方は利用してみては如何でしょうか?

f:id:foxcafelate:20190119162118j:plain

https://fe.datasign.co/


 

因みに、このブログだと・・・45箇所にデータ送信が発生している様です。

f:id:foxcafelate:20190119162502j:plain

 

 

åºåã ããã®ã¦ã§ããµã¤ãã®ã¤ã©ã¹ãï¼ãã½ã³ã³ï¼

 

 

更新履歴

  • 2019年1月19日PM(予約投稿)