スキミングによってクレジットカード情報を盗む犯罪集団「Magecart」の一部グループが、その攻撃手法を変えつつある。慎重に選んだターゲットに攻撃を仕掛ける代わりに、運任せで一網打尽にハッキングを行い、オンラインストアに悪意のあるコードを埋めこもうとしている。
非常に馬鹿げたアプローチに聞こえるかもしれないが、セキュリティー企業RiskIQが米国時間7月10日に発表した報告書によると、この「すべてをハッキング」するような戦略が奏功しているという。
Magecartのハッカーグループは4月以降のわずか数カ月間で、1万7000以上のドメインに侵入し、不正コードを埋め込むことに成功したとRiskIQは説明している。
RiskIQによると、ハッカーらは設定ミスのある「Amazon Simple Storage Service(Amazon S3)」バケットをスキャンし、ウェブサイトで使用されるJavaScriptファイルに、悪意のあるコードを追加する。
米ZDNetは、そうしたいくつかのハッキング攻撃について取り上げたことがあるが、当時はそれが大きなトレンドの一部であり、攻撃手法がシフトしていることを知らなかった。
筆者は5月に、複数のオンラインサービス会社のサイトが侵害され、JavaScriptファイルに悪意のあるコードが注入されたことを記事にした。ほかのMagecartのコードと同様に、ユーザーが入力した支払い情報を記録して、犯罪者のサーバーに送信するように設計されていた。
被害に遭った企業には、Picreel、Alpaca Forms、AppLixir、RYVIU、OmniKick、eGain、AdMaximなどが含まれる。これらの企業は、他のウェブサイトにサービスを提供するため、いくつかのJavaScriptファイルに不正にアクセスされただけで、悪意のあるコードが何千ものサイトに広まった。
RiskIQの報告書によると、これらのコードが発見された1万7000以上のドメインには、「Alexa」ランキングのトップ2000に入っているサイトもあるという。
RiskIQの脅威研究者Yonathan Klijnsma氏は米ZDNetに対し、米国時間7月11日の電子メールで、こうした一連の攻撃の背後にいるのは、Magecart配下の比較的新しいグループだと説明した。
ハッキングフォーラムで1年近く出回っているスキミングキットを使っているという。
ハッカーがしていることは、新米のバグハンターやセキュリティー研究者が日々の業務で行っていることと大差ない。つまり自動化されたS3スキャナーを使い、設定ミスのあるS3バケットを地道に見つけ出しているのだ。
セキュリティー研究者の場合、発見した脆弱性のあるサーバーを報告して、わずかな報奨金を得ることになるが、ハッカーはその内容を改ざんする。
支払いページが存在しないサイトのJavaScriptファイルにコードを埋め込む可能性が高いため、非常に効率の悪い攻撃手法だと思うかもしれない。しかし、Klijnsma氏は意見を異にする。
「Magecartの従来の攻撃に、新しいひねりを加えている。このグループは、攻撃対象を過剰に拡大することを選んだが、その労力に報いるだけの利益を得られるほど、支払いページにスキマーを埋め込むことに成功しているのだろう」(同氏)
ハッカーらは新しい攻撃手法へと移り、ウェブスキミングが廃れたのではないかと期待する人もいるかもしれないが、スキミング攻撃は、「ゆっくりと規模が拡大している」とKlijnsma氏は米ZDNetに対して述べた。
Klijnsma氏は、「古い犯罪グループが手口を巧妙化して戻ってくるケースもあるが、スキミングは全体的に参入障壁が低いのが特徴だ」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
