TOPセキュリティ > サイバー犯罪集団Magecartの手口とその対策(上)

セキュリティ

サイバー犯罪集団Magecartの手口とその対策(上)

2020/01/27

David Strom CSO

 Magecartは、eコマースプラットフォームMagentoをはじめとするオンラインショッピングシステムに攻撃を仕掛けてクレジットカード情報を盗む複数のサイバー犯罪集団の総称である。Magecartの攻撃は、サードパーティ製のソフトウエアを狙うサプライチェーン攻撃の一種として知られる。

Credit: MicroStockHub / Getty Image

 サイバー犯罪集団にとって、クレジットカード情報を大量に扱うショッピングカートは、魅力的な攻撃対象だ。利用者の決済データをだまし取るように構成したスクリプトを既製のツールに仕立て上げることで、さまざまなサイトで活用できる。サードパーティ製のショッピングカートを使って構築しているeコマースサイトのほとんどは、コードの検証を適切に行っておらず、既製のツールを使った攻撃の格好の標的となる。

 Magecartは2016年から現在に至るまで活動を続けており、数々の攻撃を手がけてきた。米セキュリティ企業RiskIQが2018年9月に公開した記事でも、Magecartのスキマー(不正スクリプト)でWebサイトが侵害を受けたとの警告がひっきりなしに上がっていたという状況が報告されている。WIRED誌が2018年に選出した「ネット上で最も危険な人々」のリストにも、Magecartは名を連ねた。

 その後、米MyPillowや米AmeriSleepのサイトも、Magecartの攻撃を受け、スキマーを組み込まれたとされる。そのほかにも、例えば次のような攻撃の事例が報告されている。

  • Ticketmasterの英国事業(2018年1月)
  • British Airways(2018年8月)
  • NewEgg(2018年9月)
  • Shopper Approved(2018年9月)
  • Toppsトレーディングカードのサイト(2018年11月)
  • Atlanta Hawksのオンラインストア(2019年4月)
  • 多数の大学キャンパスのオンラインストア(2019年4月)
  • Forbes誌の購読申し込みページ(2019年5月)

↑ページ先頭へ