Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Costwayのカード情報は2重に攻撃された

北米やヨーロッパを中心に家具や家電製品などを販売するCostwayのECサイト(Magento)に昨年後半に仕掛けられた”スキマー”の後ろには、「鵜飼」が居た様です。

threatpost.com

北米とヨーロッパでトップの小売業者の1つであるCostwayの支払いWebページで、2つのWebスキマーが発見されました。Costwayは、家電製品や家具などを販売しています。スキマーは、消費者のクレジットカード支払いの詳細をターゲットにしています。

ひねりを加えて、研究者たちは、これらのWebスキマーの1つが、以前にCostwayのサイトに注入された偽のフォームを引き継ぐために他の上に便乗していると言います。研究者によると、この戦術により、ピギーバックスキマーの背後にいるサイバー犯罪者は、手間のかかる作業を行うことなく、クレジットカードの詳細を簡単に収集できます。

攻撃を受けているWebサイトは、メンテナンスが終了したMagento 1eコマースソフトウェアブランチで実行されています。Magentoは、オープンソーステクノロジーに基づいて構築されたオンラインマーチャント向けのeコマースプラットフォームです。Magento 1のサポートは昨年6月に終了し、プラットフォーム上で動作している世界中の何千もの小売業者が、よりモバイルフレンドリーなMagento2イテレーションに更新するように促されました。

(Threatpost記事より引用)※機械翻訳

 

元ソース(Malwarebytes)

Credit card skimmer piggybacks on Magento 1 hacking spree

 

キタきつねの所感

Costwayは2008年に設立され、北米とヨーロッパを中心に家具、スポーツ用品、家庭用家電等を自社ブランドで低価格に供給して、ここ10年で急成長している小売り業者の1つです。

日本のAmazonでも商品を販売していますので、ご存じの方も多いかも知れません。同社のフランスのECサイト(costway[.]fr)にスキマーが仕掛けられている事を、Malwarebytesの研究者が発見し、更に調べてみると仕掛けられていたスキマーが1つだけでは無かった様です。

 ※スキマー(Skimmer)は、クレジットカード等の情報を不正に読みだす(スキミングする)物理的な小型の装置で、POS端末やカード読み取り機に取り付けたり、携帯型の装置で磁気情報をこっそり読み取ったりする用途で使われるものです。ICカードの普及によって犯罪事例であまり使われなくなってきています。

※デジタルスキマー(Digital Skimmer)は、クレジットカードスキマー、カードスキマー、Webスキマー、eスキミングとも呼ばれたりしますが、ECサイトからクレジットカード情報等の情報を盗む目的で仕掛けられる(正規コンテンツに挿入される)不正コード(プログラム)で、ほとんどの場合はJavaScriptが用いらてれます。

 

今回のCostway社への攻撃では、「piggyback」と英語では書かれていますが、サイバー攻撃者の”抱き着き”手法が発見された様です。

Malwarebytesは、以下の3つのスキマーが仕掛けられていたと分析しています。

清算ページに直接挿入されたMagecart v1のスキマー

②Magecart v1スキマーから”窃取した情報を更に盗む”スキマー

清算ページのiframeを変更するスキマー

 

①は普通のと言って良いか分かりませんが、ECサイト攻撃でMagecart等がよく使うスキマーです。

②は①(攻撃者A)とは違う攻撃者(攻撃者B)によって仕掛けられた①の情報を盗むスキマーです。

③は恐らく②の攻撃者(攻撃者B)が仕掛けたものと思いますが、①の攻撃者(攻撃者A)に情報が渡らないように経路を変える為に仕掛けた、あるいは②の攻撃が失敗した際に使う為のスキマーだと思います。

 

攻撃者同士(攻撃者Aと攻撃者B)が、同じECサイト(Costway)の資産(カード情報)を奪い合っている、そんな構図だった様です。

 

Malwarebytesの分析記事で出されていた図が非常に分かりやすかったのでご紹介します。記事ではもう少し詳しく分析(解説)されていますので、ご興味がある方は元ソースを是非ご覧ください。

※日本のインシデントでもこの位の攻撃内容が発表されるべきかと思いますが、日本では相も変わらず「システムの一部の脆弱性をついたことによる第三者不正アクセスとしか発表されないのは残念な所です。

 

Malwarebytes記事より引用

 

iframeのスキマー(下)も見た感じは正規なもの(上)と大差ないのですが、商品購入客に気づかれない様に窃取する仕掛け(スキマー)となっており、自分が購入客であったと想像すると、まったく気づかないでカード情報を盗まれてしまうだろうなと思います。

Malwarebytes記事より引用

 

余談です。Costway社のECサイト(フランス、英国、ドイツ、スペイン)は、どうやらスキマーを仕掛けられた際には、世界的にもシェアが高いMagentoオープンソース)のv1を利用していた様です。つまりCostway社側の本来すべきであった対策はシンプルで、最新版のソフトを使うべきだった(あるいは緩和策を講じるべきだった)という事になります。

 

MagentoはAdobeが2018年に買収していますが、v1は2020年6月にサポートが切れています。関連記事等にはCostway社がいつ攻撃を受けたのかは書かれてないのですが、Magecartが2020年9月に攻撃キャンペーンを行い2,000以上のECサイトが侵害された可能性があると報じられている事を考えると、(Costway社への攻撃はMagecartだった分析されている訳ではありませんが)6月~9月に攻撃を受けた可能性が高いのかと思います。

 

VisaはMagento v1利用について、2020年4月に注意喚起を出しており、サポート切れになるMagento v1が2020年6月以降はPCI DSS非準拠になる事を示唆しており、Magento v2.3への移行を強く推奨しています。

Acquirer Advisory - Urgent Action Required - Magento 1 support to end after June 2020

※補足:要件6.2や要件11.2で引っかかるという意味かと思います。PCI DSSv3.2の規定ではサポート切れ(EOL)ソフトウェアの利用禁止について具体的に書かれてません。しかし、要件6.2で言う「重要なセキュリティパッチが、リリース後1か月以内にインストールする」の前段部分の”パッチが出ない”ので後半部分(1か月以内に重要パッチをインストールする)が達成できないと解釈されるかと思います。規定本文だけを見ると違反してないと解釈できそうな気もしますが、ガイダンス部分を規定によって守りたい目的と考えると、このサポート切れソフトの利用が「違反」であるとQSA(評価人)によって判断される可能性が高い事がよく分かるかと思います。尚、要件11.2は各種の定期的実施が求められる脆弱性スキャンでOSやソフトの脆弱性が(徐々に)検出される可能性が高いという点で、サポート切れソフトが引っかかる要件だと思います。

広く報道されているセキュリティ上の弱点を使った「0 day」(これまでに知られていなかった脆弱性を狙った攻撃)と呼ばれる、それ以外の攻撃に対しては安全なシステムを狙う攻撃が次々に出現しています。可能な限り迅速に重要なシステムに最新のパッチを実装しないと、悪意のある者によりこれらの弱点が使用され、ネットワークが攻撃されて使用不可になる可能性があります。

PCI DSSv3.2 要件6.2ガイダンスより引用)

 

日本ではそんなにユーザ人口が多くないMagentoの話ではありますが、サポート切れに関しては(EC-CUBEでもv2が一時期EOLでしたが)色々なソフトで同じ(=攻撃者が狙っている対象)です。

つまり、カード情報を取り扱うECサイトは、カード情報非保持サービス利用とは別の観点で、自社の利用している構築パッケージ(ソフトウェア)の最新化や、緩和策をしっかりと把握しておく事が重要なのかと思います。

 

参考:

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

鵜飼のイラスト

 

更新履歴

  • 2021年2月3日 AM