カードスキマーは進化している。改めてそう考えさせる記事が出ていました。
www.zdnet.com
過去2年間、サイバー犯罪グループは、検出されないようにする目的で、オンラインストアのさまざまな場所にクレジットカードを盗むコード(Webスキマー または Magecartスクリプトとも呼ばれます)を隠すためにさまざまなトリックを使用し てきました。
過去にウェブスキマーが見つかった場所には、サイトのロゴ、ファビコン、ソーシャルメディアネットワークに使用されているような内部画像が含まれます。jQuery、Modernizr、Googleタグマネージャーなどの一般的なJavaScriptライブラリに追加されます。またはライブチャットウィンドウのようなサイトウィジェット内に隠されています。
これらの奇妙な場所の最新のものは、信じられないかもしれませんが、CSSファイルです。
(ZDNet記事より引用)※機械翻訳
キタきつねの所感
Magecart(クレジットカード情報を盗む事を専門とするAPT攻撃集団)的な手法に関する記事が出ていました。
これから年末年始を迎え、ECサイト等でカードをよく使う時期かと思いますので、留意頂きたい・・と言いたい所なのですが、こうしたスキマーを、買い物客(恐らく私も含め)がECサイトで商品購入をする際に、それを見破る術は無いかと思います。
今回見つかったMagecart的手法では、CSS(カスケーディングスタイルシート)ファイルにスキマー(カード情報を窃取する不正プログラム)を仕掛けられていました。
CSSルール無いからJavaScriptをロードして実行できる様にCSSが改ざんされていたのをオランドのセキュリティ会社SanSecの創設者(Willem de Groot氏)が見つけたと報じられています。
TwitterでWillem氏が発信してすぐに、このコードが消された(ハッカー側が証拠隠滅を図った)様ですが、9月頃から攻撃に使われた始めたと記事には書かれています。それ以前には無かった(と思います)ので、攻撃者側も実験的にやっている=今後主流な攻撃になってくる可能性がある、と記事では分析されています。
こうした攻撃のやっかいなのが、フィッシングサイトに誘導される様な(日本でよくある)攻撃に比べて、買い物客には不正が行われている事が気づかれにくくなっている事です。日本でもEC-CUBE等でフィッシング以外にも不正なJavaScript(スキマー)を仕掛けられる攻撃が発生していますが、こうした高度な攻撃は、インシデント公式発表などを見る限りは国内では発生して無い様に思えます。
これは海外サイトが、Maganto、shopware、wooCommerce等を使ってECサイトが構築されているケースが多く、そのいくつかの脆弱性が攻撃側に知れ渡っていて、侵入しやすく、更にカード情報などの標準的な変数(清算ページで使われるカード情報、有効期限、セキュリティコードなど)名が分析されているので、少し癖の違う国内サイトよりも広範囲に狙いやすい(=海外サイトの方がお金を稼ぎやすい)という事が影響しているのだと推測します。
また、EC-CUBEが去年前に注意喚起を出していますが、国内サイトでは結構単純な設定ミスからサイトに侵入されているケースも多く、CSSにコードを隠すまでもなく(警戒が緩いので)カード情報を狙えるサイトが多いという事も影響しているのかと思います。
では国内サイトは、いわゆる”日本語の壁”があるので大丈夫なのか?と考えてみると、あと1歩の所まで来ている気がしてなりません。私は、いつMagacart的な手法が”輸入”されてきても不思議では無いと思っています。
※来る来る詐欺である事を祈っております。その際は、来年の今頃にでも”予想が外れてごめんなさい”の記事を書ければと思います。
ZDNet記事では、サーバー側の責任(=ECサイト側のセキュリティ体制)が増している事を示唆をしています。
「ほとんどの研究はJavaScriptスキミング攻撃に関するものですが、スキミングの大部分はサーバー上で行われ、サーバーは完全に見えません」とdeGroot氏は述べています。
「今年のフォレンジック調査の約65%で、データベース、PHPコード、またはLinuxシステムプロセスに隠されたサーバー側スキマーが見つかりました。」
(ZDNet記事より引用)※機械翻訳
何度も同じ事を書いてますが、「カード情報非保持」になっていても、サイト側が侵害された場合(スキマーを仕掛けられた場合)こうした攻撃は防ぎきれません。
ECサイト側は、EC-CUBEの注意喚起にある注意点等を参考に自サイトのセキュリティ(特に単純ミス)体制をチェックすべきですし、必要に応じてWeb改ざん検知等の監視をしておかないと、ある日当然「大量のカード情報漏えい」の疑いを関係各所から連絡を受ける事になってしまうかも知れません。
年末に向けてセキュリティ体制の棚卸し(大掃除)も重要かと思います。
余談です。クレジットカード情報が狙われているのは間違いなく、多くのECサイト(非対面加盟店)が「カード情報非保持」になってからも、国内インシデント発表件数はほとんど減っていません。
foxestar.hatenablog.com
※累計漏えい件数は減っています(今年は10万件弱です)
更に余談です。この記事に気づいてはいたのですが、ブログ記事にはしてませんでした。
Magecart的な手法として12/3のBleeping Computerでは「Facebook、Twitter、Instagram等のソーシャルメディアボタンに悪意のあるコードを仕込む」攻撃が報告されています。(※こちらもSansecが見つけた様です)
スキマーの検知を遅らせるMagecart的手法、来年は更に進化する可能性が高いかと思います。
www.bleepingcomputer.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴