日本ではドコモが不正被害を受け、米国ではオクラホマ拠点に格安SIMを販売するboom!モバイルがMagecartの派生グループの攻撃を受けた様です。
blog.malwarebytes.com
Magecartベースの攻撃の被害者のほとんどは、さまざまな商品を販売する典型的なオンラインショップである傾向があります。しかし、たまたま脆弱であるという理由だけで影響を受けたさまざまな種類のビジネスに出くわすことがあります。
(中略)
ブーム!モバイルは、大規模ネットワークで動作する携帯電話プランを販売するワイヤレスプロバイダーです。オクラホマを拠点とするビジネスは、優れた顧客サービス、透明性、および契約なしを宣伝しています。
私たちのクローラーは最近、彼らのWebサイトboom [。] usに、外部JavaScriptライブラリをロードするBase64エンコードURLを含むワンライナーが挿入されていることを検出しました。
(Malwarebytes Labs 記事より引用)※機械翻訳
キタきつねの所感
格安SIMは海外に行った時にしか使う事が無いのですが、日本で高いと言われる携帯電話料金が、boom!モバイルの一番高いプラン(1年間)でも499ドル(約5.3万円)というのを見ると、菅首相の言う事にも一理あるなと思わずにはいられません。
しかし、boom!モバイルはこのトップページに悪意のあるJavaScriptを埋め込まれた様です。もしかすると、セキュリティ対策も格安で済ませていたのかも知れません。
Malwarebytesの記事から下記引用しますが、こんなスキマー(JavaScript)が埋め込まれ、カード情報の入力を窃取する攻撃だった様です。
クレジットカードのスキマー(悪意あるJavaScript)自体は、いかにもPaypalらしい不正URL(paypa-debit.com/cdn/ga.js)から、偽Google Analyticsスクリプトとして読み込まれる様です。
※実在する金融サービスや分析ツールを偽装する所が、有人監視や不正検知を潜り抜けようとする意図を感じますが、実際にこうしたサービスを使っている場合、検知(分析)が遅れる可能性を感じます。
この攻撃手法は、British Airwaysが大きな被害を出したMagecartの手法と似ているなと思ったのですが、MalwarebytesもMagecart(の派生)グループの攻撃と推測している様です。
侵入ルートに関しては、記事ではSucuri調査データを引用し、boom!モバイルがサポート切れの古いPHP(v5.6.40)を使っている辺りが怪しいと分析しています。
こうした脆弱性以外にも、可能性として考えられると書いているのが、「プラグイン」の脆弱性です。こうした脆弱性についてはBoom!モバイルが公式には見解を出してない様ですので推測の域を出ませんが、定期的な脆弱性診断と併せて、パッチ管理が不十分だと、海外からAPT攻撃で狙われる可能性がある事について、日本のECサイトも意識を高める必要がありそうです。
因みに、この手の攻撃は日本では(まだ)観測されてないと思いますが、日本のECサイトにいつ攻撃が来てもおかしくありません。
その際は、特に「カード情報非保持」の大手ECサイトが、他の有効なセキュリティ対策(多層防御)をしてない場合に、こうしたハッカー集団によるAPT攻撃を受けると、かなり「はまる」気がしてなりません。
不正JavaScript動作への監視、Webページ改ざん等について、警戒をすべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴