Magecart動向の記事が出ていました。特に海外系のECサイトパッケージを使ってECサイトを構築している方には要注意な情報です。
securityaffairs.co
他のセキュリティ専門家や企業は、カーステンが発見したほとんどのドメインをすでに追跡しており、管理者に感染を報告しているにもかかわらず、悪意のあるコードがまだ存在しています。
カーステンは彼の発見を200人のウェブサイトの所有者または管理者に返信することなく報告しました。
専門家は結果を3つのグループに分類しました。現在も利用可能なサイト、製品カテゴリ、ウェブショップの本社の地理的な場所です。
感染が見つかった1236のeショップの70%はまだ到達可能であり、それらの多くは完全にセットアップされていませんでした。
感染したサイトのほとんどは米国(303)にあり、続いてインド(79)と英国(68)が続いています。
(SecurityAffairs記事より引用)※機械翻訳
キタきつねの所感
元ソースは、こちらの記事の様です。過去に報じられたMageCart攻撃も含めての今回の発表の様ですが、デジタルスキマー(カード情報を不正窃取するJavaScriptコード)に侵害された1000以上のECサイトドメインが生データとして公開されたのは初めてではないでしょうか?
調査手法を含め勉強になりますので、ご興味あるかたは(英語ですが)下記のブログ記事をご覧頂くと良いかと思います。
maxkersten.nl
記事の中では、検出されたデジタルスキマーは管理者に感染を報告しているにもかかわらず”動いている”と書かれており、感染が見つかった1236のECサイトの70%は到達可能であると書かれています。
キタきつね注:スキマーが全て残存している訳ではなく、ECサイトの内側に侵入が出来る(UrlScanにひっかかる)事を意味しているのだと思います
調査の検索については、UrlScanに存在するデータから、今回の1000を超えるサイトを調査した様です。urlscan.io
違った言い方をすれば、Magecartらのハッカー側もこうした検索サイトを駆使して、脆弱なサイトを検出していると考えても良いかと思います。
記事中に全世界地図が掲載されており、検出されたほとんどのサイトが米国ドメイン(303)である事がわかります。続いてインド(79)、英国(68)。
日本も色付けされていましたが、生データを見た所、大きくもなく日本語ではない運営サイトの様でしたので、今回の調査データ中には(日本のECサイトが.com等を使っている場合は分かりませんが)実質的な日本のECサイトは無さそうです。
余談ですが、日本での利用率が高いEC-CUBEが、先日WAFサービスを発表しました。特に被害が多いv2をサービス開始時は対象としている様です。
www.security-next.com
こうしたサービスを利用する事により、Magecart等の攻撃を回避される可能性が高くなりますが、反面、無償のECサイト構築パッケージで2系を利用していたユーザが、月額1万円のオプションサービスを利用するか・・・という別な問題があり、残念ながら、今年もEC-CUBE系のサイトからの漏えい報告は暫く続く気がしています。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
