Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

格安SIMのboom!を狙ったMagecart的攻撃

日本ではドコモが不正被害を受け、米国ではオクラホマ拠点に格安SIMを販売するboom!モバイルがMagecartの派生グループの攻撃を受けた様です。

blog.malwarebytes.com

Magecartベースの攻撃の被害者のほとんどは、さまざまな商品を販売する典型的なオンラインショップである傾向があります。しかし、たまたま脆弱であるという理由だけで影響を受けたさまざまな種類のビジネスに出くわすことがあります。

(中略)

ブーム!モバイルは、大規模ネットワークで動作する携帯電話プランを販売するワイヤレスプロバイダーです。オクラホマを拠点とするビジネスは、優れた顧客サービス、透明性、および契約なしを宣伝しています。

私たちのクローラーは最近、彼らのWebサイトboom [。] usに、外部JavaScriptライブラリをロードするBase64エンコードURLを含むワンライナーが挿入されていることを検出しました

(Malwarebytes Labs 記事より引用)※機械翻訳

 

キタきつねの所感

格安SIMは海外に行った時にしか使う事が無いのですが、日本で高いと言われる携帯電話料金が、boom!モバイルの一番高いプラン(1年間)でも499ドル(約5.3万円)というのを見ると、菅首相の言う事にも一理あるなと思わずにはいられません。

 

しかし、boom!モバイルはこのトップページに悪意のあるJavaScriptを埋め込まれた様です。もしかすると、セキュリティ対策も格安で済ませていたのかも知れません。

f:id:foxcafelate:20201007054254p:plain

 

Malwarebytesの記事から下記引用しますが、こんなスキマー(JavaScript)が埋め込まれ、カード情報の入力を窃取する攻撃だった様です。

f:id:foxcafelate:20201007060327p:plain

 

クレジットカードのスキマー(悪意あるJavaScript)自体は、いかにもPaypalらしい不正URL(paypa-debit.com/cdn/ga.js)から、Google Analyticsスクリプトとして読み込まれる様です。

※実在する金融サービスや分析ツールを偽装する所が、有人監視や不正検知を潜り抜けようとする意図を感じますが、実際にこうしたサービスを使っている場合、検知(分析)が遅れる可能性を感じます。

 

この攻撃手法は、British Airwaysが大きな被害を出したMagecartの手法と似ているなと思ったのですが、MalwarebytesもMagecart(の派生)グループの攻撃と推測している様です。

 

侵入ルートに関しては、記事ではSucuri調査データを引用し、boom!モバイルがサポート切れの古いPHP(v5.6.40)を使っている辺りが怪しいと分析しています。

f:id:foxcafelate:20201007074934p:plain

こうした脆弱性以外にも、可能性として考えられると書いているのが、プラグイン」の脆弱性です。こうした脆弱性についてはBoom!モバイルが公式には見解を出してない様ですので推測の域を出ませんが、定期的な脆弱性診断と併せて、パッチ管理が不十分だと、海外からAPT攻撃で狙われる可能性がある事について、日本のECサイトも意識を高める必要がありそうです。

 

因みに、この手の攻撃は日本では(まだ)観測されてないと思いますが、日本のECサイトいつ攻撃が来てもおかしくありません

その際は、特に「カード情報非保持」の大手ECサイトが、他の有効なセキュリティ対策(多層防御)をしてない場合に、こうしたハッカー集団によるAPT攻撃を受けると、かなり「はまる」気がしてなりません。

 

不正JavaScript動作への監視Webページ改ざん等について、警戒をすべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

SIMカードのイラスト

 

更新履歴

  • 2020年10月7日 AM(予約投稿)