久々にMagecart記事を見ました。日本のECサイトを攻撃している攻撃グループとは少し手法が違う気がしますが、Magecartの攻撃手法は少し先に襲ってくるかも知れない攻撃と考えて警戒しておくべきかと思います。
www.bleepingcomputer.com
顧客から支払い情報が盗まれたため、クレジットカードのスキミング攻撃が何ヶ月も検出されないまま、脅威の攻撃者が休暇に向けて準備を進めています。
Magecartスキミングは、訪問者がチェックアウトページにいるときに実行される、標的のWebサイトへの悪意のあるJavaScriptコードの挿入を伴う攻撃です。
このコードは、クレジットカード番号、所有者名、住所、CVVなどの支払いの詳細を盗み出し、それらをアクターに送信することができます。
脅威の攻撃者は、この情報を使用してオンラインで商品を購入したり、「カーディング」サイトと呼ばれるアンダーグラウンドフォーラムやダークウェブマーケットプレイスで他の攻撃者に販売したりする可能性があり ます。
キタきつねの所感
海外でも国内でもECサイトからカード情報を窃取しようとする攻撃は、スキマーと呼ばれる不正なプログラム(JavaScriptコード)を挿入する攻撃、もしくは偽決済ページに誘導してカード情報を入力させた後に、本当の決済ページに戻す様な手法がよく使われています。
こうした手法の多くは、過去にMagecartと分類されるカード情報を専門に窃取する攻撃者グループが”開発した”手法とも言われています。Magecartは、ブリティッシュ・エアウェイズや、チケットマスター等、過去に数々のAPT攻撃を成功させたと言われており、今年は活動が低調だった気がしますが、こうした記事を見ると、近い将来にMagecartによる大きなインシデントを聞く日も近いかも知れません。
その実態については米国サンフランシスコに拠点があるセキュリティ企業のRiskIQ社がウォッチしていますので、カード業界の方、あるいはECサイトの運営者(運営依託会社)はご覧になると良いかと思いますが、正直に言えば、こうした攻撃手法で国内ECサイトが襲われる様になると、相当な被害が出ると推測されます。
※参考:Magecart調査レポート Inside Magecart | RiskIQ
Magacartの攻撃を見つけたのはアカマイの様です。
記事によるとPS4やXbox等のゲーム用コントローラー等を販売する、SCUF Gaming Internationalへの攻撃をMagecartによるものと分析した様です。このインシデントでは、約3.2万人のカード情報が侵害された様ですが、この攻撃を分析している中で、他のECサイトもMagecartによる侵害を受けている事を気づいた様です。
アナリストはさらに詳しく調査したところ、SCUFに対する攻撃の責任者と同じ人物が、複数のサイトからクレジットカードの詳細を盗んだスキマーの広範なネットワークを運用していることがわかりました。
これらは:
whitemountainshoes.com –靴と靴(Alexaランク:425k)
goldboutique.com –ジュエリー(Alexaランク:1.4 M)
nafnaf.com –ファッションアパレル(Alexaランク:85k)
schlafstaette.de –睡眠製品
proaudiostar.com –プロフェッショナルオーディオ機器(Alexaランク:150k)
truebrands.com –プロの飲料アクセサリー(Alexaランク:113k)
Loudmouth.com –衣料品と特別なアパレル(Alexaランク:1.2 M)
(Bleeping Computer記事より引用)※機械翻訳
Alexaランク(Amazonがランク付けするウェブトラフィックから見る人気サイトの順位付け)が高いサイトを狙うのは、攻撃者にとっては当然の選択ですが、アカマイ社の分析では、今までと”癖”が違った様に書かれています。
そのため、アクターはスクリプトのアクティビティを貴重なページのみに制限して、スキマー を感染したサイトに隠して おき、アカマイの調査を困難にします。
「スキマーのコマンドアンドコントロール(C2)サーバーは、機密性の低いページで実行すると、クリーンなコードで応答することがわかりました...」とアカマイのレポートは説明しています。
「…そして(スキマーは)クレジットカード情報が掲載されているチェックアウトページで実行された場合にのみ、悪意のあるコードを送信します。」
(Bleeping Computer記事より引用)※機械翻訳
こうしたサブマリン(潜伏)型の攻撃手法が取られる事により、C&Cサーバとの外部通信を監視しているだけでは、その通信を見逃す可能性がある事には留意が必要かと思います。
また、もう1つの変化が記事に書かれています。
Magecartアクターが従うもう1つの検出防止手法は、対象となるWebサイトごとに新しいスキミングドメインを登録することです。
スキミング操作が公開/発見された場合、そのドメインを非アクティブ化し、他のサイトで悪意のあるアクティビティを続行します。
(Bleeping Computer記事より引用)※機械翻訳
これも、防衛側の検知を潜り抜ける為のMagecartの進化と言えるかと思います。他のECサイトなどで見つかったC&Cサーバの情報を検知に活かせない事になりますので、ECサイト側の対応が遅れる事も多くなってくるかと思います。
攻撃側は目的を達成するために、攻撃手法を徐々に(検知されずらいサブマリン型に)進化させています。防衛側(ECサイト側)も現在の対策が十分であると考えずに、最新の攻撃手法を把握し、多層防御を厚くしていく事が重要なのではないでしょうか。
<12/16記事で書いた下記内容を再掲します>
余談です。最近は筆が進まないと言うか、他に色々と手を出し過ぎたと言うか、1日1本の文章を書くというエネルギーが分散されている事も影響しているのかも知れませんが、記事を書くのが遅れがちになる事が多くなってきました。
4周年記事にも書いたのですが、連続投稿としてはOSINT記事も出すようになりましたので、ブログ上は連続更新が途切れないかも知れませんが、来年に入ってからは毎日こうした記事を書くのは、一度止めて、もう少し質の高い記事を出す事を目指そうかと思っております。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
