TOPセキュリティ > サイバー犯罪集団Magecartの手口とその対策(下)

セキュリティ

サイバー犯罪集団Magecartの手口とその対策(下)

2020/01/31

David Strom CSO

 Magecartは、eコマースプラットフォームMagentoをはじめとするオンラインショッピングシステムに攻撃を仕掛けてクレジットカード情報を盗む複数のサイバー犯罪集団の総称である。Magecartの攻撃は、サードパーティ製のソフトウエアを狙うサプライチェーン攻撃の一種として知られる。

前回から続く)

サプライチェーン攻撃を防ぐための策

Credit: Monsitj / Getty Images

 悪質なハッカー集団は、巧妙な手法を利用してスキマーの組み込みや隠蔽を行っている場合があるが、人手や予算に限りのあるサイト運営者にも対処する余地はある。無料で利用できるオンラインのWebサイトスキャンツールを使って、Magecartのようなスクリプトによる疑わしい接続を見つけたり、ブラウザーの開発者ツールを使って、コンテンツを分析したりできる。

 Magecartの攻撃を受けていないかをブラウザー上でチェックする方法や、関連するツールについては、米Trustwaveのブログ記事に解説がある。そのほか、Magecartのような攻撃から利用者を守るための方法としては、Content Security Policy(CSP)やSub Resource Integrity(SRI)などのWeb技術を利用して、スクリプトの取得元の制限や完全性の維持を適用するといった方法がある。

↑ページ先頭へ