Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

エノテカにMagecartの足音を感じた

つぶやいてみた。 調べてみた。

影響範囲は無い様に見えるSecurity Nextの記事でしたが、気になる攻撃手法でした。

www.security-next.com

 

エノテカは、同社のワイン通信販売サイトにおいて、意図しない外部サイトが表示される状態だったことを明らかにした。利用する外部サービスのタグが原因だという。

同社によれば、10月26日21時ごろより、「エノテカ・オンライン」において意図しない外部サイトが表示される状態となったもの。翌27日11時にサービスを停止して原因を調べていた。

同サイトで読み込んでいた外部ASPサービスのJavaScriptに、特定ページを表示する記述が含まれていたことが原因だと説明している。

(Security Next記事より引用)

 

■公式発表 サイト サービス再開のご報告

 

◆キタきつねの所感

エノテカのワインは個人的にもファンであるのですが、それ以上にエノテカが影響を受けた手法が、カード情報を海外で窃取されているMagecartの攻撃に似ている事から、怖さを感じました。

 

※奇しくも、記事をUP予定日の11/6(本日)のJPAC様のセミナーでMagecartを取り上げる予定で色々と調べていたので、攻撃手法の類似性に怖さを感じてます

 

エノテカの公式発表はHPの下の方に小さく出ていました。

f:id:foxcafelate:20191102170325p:plain

尚、公式発表の文章を見ると、原因部分が2通りに読めます

(※私の読解力の問題であればご容赦下さい)

<原因と対応>
外部ASPサービスを動作させるタグに含まれていた外部サーバーのjava scriptにおいて特定のページを表示させる記述がなされていた。
  該当のタグを削除。タグの提供元含め、引き続き詳細を調査中。

(公式発表より引用)

①「外部ASPを呼び出すタグ」に「特定のページを表示させる記述がなされていた」

②「外部サーバのJavaScript」に「特定のページを表示させる記述がなされていた」

 

後半部分には、「該当のタグを削除」とあるので、おそらく①を表しているのだと思うのですが、、、だとすると、Security Nextの記事に書かれていた内容と異なります

同サイトで読み込んでいた外部ASPサービスのJavaScript特定ページを表示する記述が含まれていたことが原因だと説明している。

(Security Next記事より引用)

こちらの記事では②の表現となっています。

この①と②は、どこが侵害を受けたかの分岐となる所で、非常に重要な所です。①の場合はエノテカWebページが改ざんされた(※責任はエノテカ可能性が高く

②の場合は(※私が恐れているのはこのケースです)呼び出されたJavaScriptが改ざんされた(※責任はサードパーティ事によって特定ページに誘導された可能性が高いと考えられます。

 

きちんと広報的にチェックされた文章であろう事から、一般的にはエノテカの公式発表が正しいと思います。しかし今回は、Security Nextの記事と内容が違う部分をもう1か所見つけました。

同サイトに対する不正アクセスは確認されておらず、同社は原因となったタグを削除してサイトを再開。問題のタグについては、提供元も含めて引き続き詳細について調べているという。

(Security Next記事より引用)

 

エノテカサイトに対する不正アクセスが確認されてないとすると、「ページ改ざんは行われてない」(※これも不正アクセスの範疇となるはずです)事を示唆しているので、私は②の可能性が高いと思います。

 

※もう1点、日曜日とは言え原因究明から解決までに5時間かかっていますので、①だったとすれば結構遅いと思うのも(ソースコード見れば怪しげなものが追加されていたのはすぐ見つかるはずなので・・・)、②と思った理由です。

2019年10月27日(日) 11:00頃 原因、影響範囲が不明のためサイト サービスを全面的に停止
          16:05頃 原因判明、プログラムの修正が完了しサイト サービス再開

(公式発表より引用)

 

まだ被害が出たかどうかも分からないエノテカの件が何故怖いかと言うと、、日本ではまだあまり被害事例が出ていませんが、海外で2014年頃から大きな被害を出している、Magecartの手法と似ているからです。つまり、これから日本もMagecartの主攻撃対象になり、大きな被害が出る事を懸念しています。

 

Magecartについては、RiskIQ社が長年追いかけていますので、以下のレポートをご覧になるとその怖さが分かるかと思います。(※英文ですが)EC-CUBEよりも海外でよく使われている「Magento」で数千ものECサイトがMagecartの侵害を受けたと言われています。また最近ではTicketmaster等のMSPやBrithishAirwaysなど大きなサイトも攻撃を受けていて、その攻撃が弱まる気配がありません。彼らの大きな特徴がカード情報を窃取する目的である事、そしてJavaScript(スキマー)を巧妙に仕掛けてくるところです。

www.riskiq.com

 

今回のエノテカの場合は、カード情報が漏えいされたという事態は確認されて無い様ですが、Ticketmasterの事件の場合は「チャットボット」が狙われ、Adverline事件の場合は「広告配信サーバ」が狙われました。

エノテカからは事件の詳細手口が調査中という事もあり開示されていませんが、Magecartの攻撃対象にひっかかった可能性を感じています。

 

エノテカのサイトを見ると、まず飛び込んでくるのが「チャットボット」です。

f:id:foxcafelate:20191101102138p:plain

調べてみると、今年の5月末から導入されている様です。トランスコスモス社の導入サポートの元で、「Showtalk」が使われている様です。

 

エノテカ・オンラインで WEB チャットによるお客様サポートを導入!

ワイン通販サイト「エノテカ・オンライン」にWebチャットシステムを提供

 

とは言え、開発元トランスコスモス社、他の実績ユーザのサイトでも、(今の所)今回の件に関係するニュースリリースが出てませんでした。(※なので事件とは関係が無い?)

 

エノテカHPの魚拓サイトをみて見ましたが、残念ながら攻撃が行われた日の魚拓は保存されてなかったので、不正コードらしきものは発見できませんでした。

 

現在のサイトのページソースを見ると、外部のJavaScriptを呼んでそうな記述がShowtalk以外にも、いくつかありました。(※事件発生時点での魚拓ページが無いので、これ以外の外部サービスのタグが削除されていたのだとすれば検討外れとなりますが、8/11の魚拓サイトを見た範疇では、下記の外部呼び出の.js差分は無さそうでした)

 

f:id:foxcafelate:20191102175625p:plain

f:id:foxcafelate:20191102180053p:plain

f:id:foxcafelate:20191102175650p:plain

f:id:foxcafelate:20191102175818p:plain

f:id:foxcafelate:20191102175736p:plain

 

出てきたのは、Google分析、Google広告、Facebook広告、そして・・Socdmもscaleout社の広告系のJavaScriptですね。どれも改ざんされる可能性はありそうですが、GoogleFacebook等が侵害されていたとすると、もっと多くのユーザに影響が出るはずなので、、現時点では違う気がします。

 

そうなると元に戻ってしまうのですが、JavaScriptのカスタマイズが発生しそうな(影響範囲が限定される)Chatbot辺りが怪しい気がしますが・・・残念ながら確証はありません。

 

追加の発表(記事)があればまた調査してみたいと思います。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

ワインのイラスト(ボルドー)



 

更新履歴

  • 2019年11月2日PM(予約投稿)