Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

CMSを狙うUltraRank

カード情報を狙うハッカー集団と言えばMagecartが有名ですが、シンガポールのセキュリティ会社Group-IBの新しいレポートでは「UltraRank」と名付けられたハッカー集団も、かなり攻撃を強めていて特にCMS経由の攻撃手法は、日本企業が近い将来影響を受ける可能性を感じます。

www.prnewswire.com


 

元ソース(Group-IBのレポート)

 

サイバー犯罪の天才
18か月未満で、JSスニファーファミリーの数は2倍以上になりました:今日、Group-IBアナリストは少なくとも96のファミリーを見ていますが、2019年3月にGroup-IB がこの脅威に関する最初の研究を発表したとき、図はで38。アンダーグラウンドフォーラムの監視、既存のJSスニファサンプルの徹底的な分析、および新しいWebサイト感染の検索により、Group-IBは、JSスニファを含む攻撃を属性付けするという新しい段階の研究を開始することができました。

2020年2月、Group-IBの専門家は、CMS Magentoを実行しているクライアント用にWebサイトを作成した米国のマーケティング会社The Brandit Agencyが侵害されていることを発見しました。その結果、マーケティング代理店が作成した少なくとも5つのWebサイトがJSスニファーに感染しました

(CISION=Group-IB発表資料より引用)※機械翻訳

 

キタきつねの所感

Magecartの攻撃は色々な手法が採られていますが、過去に大きな被害を出したBritishAirways、Ticketmaster、Adverlineに使われたサードパーティのJavaScriptsを狙った手法と、今回レポートにまとめられたUltraRankの攻撃手法は似ている様です。

 

Magecart(の1部のグループ)は、海外で主流のMagantoやWordPress等のECサイトを狙った攻撃を得意としており、日本のEC-CUBE等で構築されたECサイトはあまり攻撃対象になっていませんでしたが、CMSを狙われた場合は「日本だから大丈夫」とは言えないのが怖い所です。

 

Group-IBはこの傾向について次の様に分析しています。

 グループIBは、JSスニッファー市場はサイバー犯罪の地下組織に大きな関心を寄せておりマルウェアの数は過去1年間で2倍になり、今日では96に達していると警告しています。

「今日のJSスニファーは、銀行カードデータの侵害を目的としたツールの進化の最終産物であり、このような攻撃のリソース強度を大幅に低下させています」と、同社の脅威インテリジェンスアナリストであるVictor Okorokov氏は結論付けました。

「今後数年間で、多くのオンラインショップやサービスプロバイダーが脆弱性を持つ古いCMSを使用してサイバーセキュリティを無視しているため、この悪意のある手段の使用が確実に増加するでしょう。」

Infosecurity Magazine記事より引用)※機械翻訳

 

日本のEC事業者のCMSに関してデータを持っている訳ではないので、根拠はありませんが、おそらくこの分析内容は、日本でも”当たる”と予想しています。

 

ECサイト側はこと広告系(CMS)に関しては、広告収入、顧客分析、かご落ちなど、マーケティングや収益に関わる部分だとJavaScriptsの活用を重要視していますが、その反面、セキュリティリスクはほとんど考慮してないかと思います。

 

しかし、海外のデータが多いかと思いますが、UltraRankの関わった攻撃として、以下の様に書いています。

デジタルスキマーグループでは珍しく、UltraRankは個々のWebサイト/組織とサプライチェーンプレーヤーの両方を攻撃しました。Group-IBは、グループに感染した691の個別のWebサイトと、広告とブラウザ通知、Webデザイン、マーケティング、Webサイト開発を含む13のサードパーティプロバイダーを特定したと主張しました。

Infosecurity Magazine記事より引用)※機械翻訳

 

UltraRankが関与するDarkWebでのカード販売に関しては、提携販売サイト(ValidCC)を通じて、1日$5,000~$7,000を売り上げている様ですので、かなりの「成果」を挙げている事がわかります。

ECサイトCMS脆弱性や、JavaScriptsの監視など、こうしたハッカー集団からの攻撃を警戒すべきかと思います。

 

 

余談です。恐らく日本でも近い将来・・・と考える理由の1つが、ECサイトにおけるJSの多用です。決済ページ(情報資産)の周辺だけJavaScriptを外す構成にしていれば、こうした攻撃は単純に防ぐことができるはずですが、かご落ちや広告分析などの貴重なデータトレースが出来なくなる事から、ECサイト側はJavaScriptsを外すのに抵抗感がある様です。

であるならば、それ以外の手段でセキュリティ強化を図るべきかと思いますが、日本の場合、大手ECサイトで実害が出てない事もあるのかも知れませんが、「海外の事」として、このリスクに対して他人事である(対策を打たない)事業者の方が多い印象です。

 

Group-IBによると、彼らがウォッチしているJSスニッファーはここ1年で倍増しており、100近いハッカー集団が、ECサイトからカード情報を窃取しようと活動している事が分かります。彼らがいつ日本キャンペーンを仕掛けてくるか分からない、そんな状況にある気がしてなりません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

フィッシングサイトのイラスト

 

更新履歴

  • 2020年8月28日 AM(予約投稿)