カードスキマーは進化中

カードスキマーは進化している。改めてそう考えさせる記事が出ていました。

www.zdnet.com

過去2年間、サイバー犯罪グループは、検出されないようにする目的で、オンラインストアのさまざまな場所にクレジットカードを盗むコード（Webスキマーまたは Magecartスクリプトとも呼ばれます）を隠すためにさまざまなトリックを使用してきました。

過去にウェブスキマーが見つかった場所には、サイトのロゴ、ファビコン、ソーシャルメディアネットワークに使用されているような内部画像が含まれます。jQuery、Modernizr、Googleタグマネージャーなどの一般的なJavaScriptライブラリに追加されます。またはライブチャットウィンドウのようなサイトウィジェット内に隠されています。

これらの奇妙な場所の最新のものは、信じられないかもしれませんが、CSSファイルです。

（ZDNet記事より引用）※機械翻訳

キタきつねの所感

Magecart（クレジットカード情報を盗む事を専門とするAPT攻撃集団）的な手法に関する記事が出ていました。

これから年末年始を迎え、ECサイト等でカードをよく使う時期かと思いますので、留意頂きたい・・と言いたい所なのですが、こうしたスキマーを、買い物客（恐らく私も含め）がECサイトで商品購入をする際に、それを見破る術は無いかと思います。

今回見つかったMagecart的手法では、CSS（カスケーディングスタイルシート）ファイルにスキマー（カード情報を窃取する不正プログラム）を仕掛けられていました。

CSSルール無いからJavaScriptをロードして実行できる様にCSSが改ざんされていたのをオランドのセキュリティ会社SanSecの創設者（Willem de Groot氏）が見つけたと報じられています。

The next frontier will be robots.txt https://t.co/2bOq9BKL4A
— gwillem (@gwillem) 2020年12月9日

TwitterでWillem氏が発信してすぐに、このコードが消された（ハッカー側が証拠隠滅を図った）様ですが、9月頃から攻撃に使われた始めたと記事には書かれています。それ以前には無かった（と思います）ので、攻撃者側も実験的にやっている＝今後主流な攻撃になってくる可能性がある、と記事では分析されています。

こうした攻撃のやっかいなのが、フィッシングサイトに誘導される様な（日本でよくある）攻撃に比べて、買い物客には不正が行われている事が気づかれにくくなっている事です。日本でもEC-CUBE等でフィッシング以外にも不正なJavaScript（スキマー）を仕掛けられる攻撃が発生していますが、こうした高度な攻撃は、インシデント公式発表などを見る限りは国内では発生して無い様に思えます。

これは海外サイトが、Maganto、shopware、wooCommerce等を使ってECサイトが構築されているケースが多く、そのいくつかの脆弱性が攻撃側に知れ渡っていて、侵入しやすく、更にカード情報などの標準的な変数（清算ページで使われるカード情報、有効期限、セキュリティコードなど）名が分析されているので、少し癖の違う国内サイトよりも広範囲に狙いやすい（＝海外サイトの方がお金を稼ぎやすい）という事が影響しているのだと推測します。

また、EC-CUBEが去年前に注意喚起を出していますが、国内サイトでは結構単純な設定ミスからサイトに侵入されているケースも多く、CSSにコードを隠すまでもなく（警戒が緩いので）カード情報を狙えるサイトが多いという事も影響しているのかと思います。

では国内サイトは、いわゆる”日本語の壁”があるので大丈夫なのか？と考えてみると、あと1歩の所まで来ている気がしてなりません。私は、いつMagacart的な手法が”輸入”されてきても不思議では無いと思っています。

※来る来る詐欺である事を祈っております。その際は、来年の今頃にでも”予想が外れてごめんなさい”の記事を書ければと思います。

ZDNet記事では、サーバー側の責任（＝ECサイト側のセキュリティ体制）が増している事を示唆をしています。

「ほとんどの研究はJavaScript スキミング攻撃に関するものですが、スキミングの大部分はサーバー上で行われ、サーバーは完全に見えません」とdeGroot氏は述べています。

「今年のフォレンジック調査の約65％で、データベース、PHPコード、またはLinux システムプロセスに隠されたサーバー側スキマーが見つかりました。」

（ZDNet記事より引用）※機械翻訳