TOPセキュリティ > サイバー犯罪集団Magecartの手口とその対策(中)

セキュリティ

サイバー犯罪集団Magecartの手口とその対策(中)

2020/01/29

David Strom CSO

 Magecartは、eコマースプラットフォームMagentoをはじめとするオンラインショッピングシステムに攻撃を仕掛けてクレジットカード情報を盗む複数のサイバー犯罪集団の総称である。Magecartの攻撃は、サードパーティ製のソフトウエアを狙うサプライチェーン攻撃の一種として知られる。

前回から続く)

Magecartの進化

Credit: IGphotography / Getty Images

 RiskIQと米Flashpointは2018年、Magecartのコードや攻撃手法を分析した共同レポート「Inside Magecart」を発表した。Magecartを構成する6つの主要なサイバー集団の動向を継続的に追跡した結果をまとめたものだ。各集団は、マルウエアや攻撃手法にさまざまな改良を積極的に加えている。コードの特徴や手法は集団ごとに違いがあり、こうした特徴が識別に使われている。Magecartで使われるコードや手法には、次のような方向性で変化が加わってきた。

  • プラグインが新たな標的に:顕著な例としては、Shopper Approvedに対する攻撃がある。従来はMagentoのショッピングカートに対する攻撃が多かったMagecartだが、この攻撃ではプラグインが標的となった。Shopper Approvedのプラグインは、さまざまなサイトでカスタマーレビュー関連の機能に使われている。これを標的としたことで、7000以上のeコマースサイトにマルウエアが展開される結果となった。
  • 広告サーバーの利用:サイトで使われているショッピングカートが最終的な標的であることは変わらないが、広告サーバーを通じて配信される広告を利用することにより、ユーザーがページを表示したタイミングでスキマーを送り込む仕組みを実現している。
  • 攻撃対象の絞り込みと入念な準備:不特定多数に向けてマルウエアを広範囲にばらまくのではなく、標的のコードやインフラを精査したうえで攻撃を行う。British Airwaysが受けた攻撃はその例だ。RiskIQは、バゲージクレーム情報ページで読み込まれるスクリプトが改変されていることをタイムスタンプから突き止め、このスクリプトに組み込まれた実質22行のコードによって情報が盗まれていたことや、クロスサイトスクリプティングでBritish Airwaysのサーバーが攻撃されていたことを割り出した。
翻訳:内山卓則=ニューズフロント

↑ページ先頭へ