RiksIQ社調査によるMagecart攻撃事例が公開されていました。今度は米国のブレンダーメーカー、nuturibullet(ニュートリブレット)のECサイトがデジタルスキミングにより侵害された様です。
techcrunch.com
セキュリティ会社RiskIQの新しい調査によると、ハッカーは過去2か月間にブレンダーメーカーのWebサイトに何度か侵入し、支払いページに悪意のあるクレジットカードスキミングマルウェアを注入し、クレジットカード番号やその他の個人データなどを盗み出しました。疑いを持たないブレンダー購入者の請求先住所、有効期限、カード確認値。
データはスクレイピングされ、攻撃者が操作するサードパーティのサーバーに送信されました。盗まれたクレジットカードのデータは、暗いWebマーケットプレイスのバイヤーに販売されます。
NutriBulletは、毎回悪意のあるコードを削除することで反撃しました。しかし、RiskIQによると、ハッカーはまだ会社のインフラストラクチャにアクセスできており、ハッカーは先週、NutriBulletのWebサイトを標的にしています。
(中略)
これは、ハッカーの単一のエンティティではなく、グループのグループであるMagecartによる最新の攻撃です。
(Tech Crunch記事より引用)※機械翻訳
キタきつねの所感
Magecartは高度なハッカー集団として知られ、Ticketmaster、BritishAirways、Newegg等のカード情報漏えい事件はこのハッカー集団によるものと分析されています。
日本ではEC-CUBEに代表されるECサイト構築パッケージ(サービス)が狙われており、大きな被害を出していますがMagecartの(最近の)攻撃パターンとは少し違います。
※MagecartはECサイト構築パッケージを狙う攻撃も何年も継続してはいますが、より気づかれにくいJavaScriptライブラリファイルの改ざん(悪意あるJavaScriptコードを追加する)が最近増えてきています。
※日本では被害例があまりありませんが、Magecartが攻撃対象を日本企業に向けた場合、この手法が、大きな事件被害を出す可能性が高いのではないかと個人的には思っています。
今回、RiskIQ社はNutriBullet社のECサイトにデジタルスキマーが仕掛けられている事を検知し、ButriBullet社に通知していますが反応が鈍かった様です。
時系列としては
・2/20 RiskIQ社が、NutriBullet社にスキマーが設置されている事を通知
※NutriBullet社はRiskIQ社とのコミュニケーションを無視
・3/1 RiksIQ社が、ECサイトからスキマーの削除を確認
(NutriBullet社が削除対応したものと考えられる)
※RiskIQ社が攻撃者が利用していたドメインをテイクダウン
・3/2 攻撃者が新たなドメイン(https://webanalyzer.net/tr/)をセットアップ
・3/5 攻撃者が、ECサイトに2番目のスキマーを設置
・3/10 RiskIQ社が、ECサイトに別なスキマーを設置されている事を確認
※RiskIQ社が攻撃に使われたドメインをテイクダウン
・3/10 攻撃者が難読化された3番目のスキマーを設置
※この時点ではドメインは機能してなかった
(RiksIQ社ブログ記事より引用)
RiskIQ社のブログ記事から引用しますが、最初のスキマーが仕掛けられたポイントは、日本の多くのECサイトにとっても脅威になるのではないでしょうか。多くのサイトページがこのライブラリーを標準的に使っている「jquery.js」に、スキマー(JavaScript追加コード)が仕掛けられていました。
※攻撃コードの詳細は、RiskIQ社の記事に書かれていましたので、ご興味ある方は(英語ですが)そちらをご覧ください。
2番目のスキマーは、多くのサイトでフォームチェックに使われている「jquery.validate.min.js」が狙われました。
※下記は同じくRiskIQのブログ記事より引用
3番目のスキマーは「main-build-8a9adc31.js」でした。難読化されたスキマーには留意が必要ですが、1番目や2番目程に汎用性の高いJavaScriptではないかと思います。
※下記は同じくRiskIQのブログ記事より引用
Magecartの攻撃パターンについては、日々進化している部分もありますので、日本のECサイトも十分に警戒した方が良いかと思います。(自社サイトのJavaScriptライブラリが改ざんされる可能性があると認識すべきです)
余談ですが、NutriBullet社がRiskIQ社の警告を何故無視したのかは不明ですが、現時点でNutriBullet社は侵害事件のリリースを出してない様です。
言い方は悪いのですが、RiskIQ社が勝手に詐欺サイトドメインをテイクダウンしてくれていなかったら、被害が更に大きくなった可能性は高いかと思います。
RiskIQ社を知らなかった(私は著名なセキュリティ企業だと知っていますが)事は十分に考えられますが、サイバーの世界では、「著名な企業を知っておく」あるいは「外部のセキュリティ専門家の言う事を傾聴する(無視しない)」という事も、重要かと思います。
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴