「Magecart」の新たな攻撃手法、設定ミスのある「Amazon S3」バケット狙う

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部 2019年07月12日 12時01分

  • このエントリーをはてなブックマークに追加
  • 印刷

 スキミングによってクレジットカード情報を盗む犯罪集団「Magecart」の一部グループが、その攻撃手法を変えつつある。慎重に選んだターゲットに攻撃を仕掛ける代わりに、運任せで一網打尽にハッキングを行い、オンラインストアに悪意のあるコードを埋めこもうとしている。

セキュリティ

 非常に馬鹿げたアプローチに聞こえるかもしれないが、セキュリティー企業RiskIQが米国時間7月10日に発表した報告書によると、この「すべてをハッキング」するような戦略が奏功しているという。

 Magecartのハッカーグループは4月以降のわずか数カ月間で、1万7000以上のドメインに侵入し、不正コードを埋め込むことに成功したとRiskIQは説明している。

 RiskIQによると、ハッカーらは設定ミスのある「Amazon Simple Storage Service(Amazon S3)」バケットをスキャンし、ウェブサイトで使用されるJavaScriptファイルに、悪意のあるコードを追加する。

 米ZDNetは、そうしたいくつかのハッキング攻撃について取り上げたことがあるが、当時はそれが大きなトレンドの一部であり、攻撃手法がシフトしていることを知らなかった。

 筆者は5月に、複数のオンラインサービス会社のサイトが侵害され、JavaScriptファイルに悪意のあるコードが注入されたことを記事にした。ほかのMagecartのコードと同様に、ユーザーが入力した支払い情報を記録して、犯罪者のサーバーに送信するように設計されていた。

 被害に遭った企業には、Picreel、Alpaca Forms、AppLixir、RYVIU、OmniKick、eGain、AdMaximなどが含まれる。これらの企業は、他のウェブサイトにサービスを提供するため、いくつかのJavaScriptファイルに不正にアクセスされただけで、悪意のあるコードが何千ものサイトに広まった。

 RiskIQの報告書によると、これらのコードが発見された1万7000以上のドメインには、「Alexa」ランキングのトップ2000に入っているサイトもあるという。

 RiskIQの脅威研究者Yonathan Klijnsma氏は米ZDNetに対し、米国時間7月11日の電子メールで、こうした一連の攻撃の背後にいるのは、Magecart配下の比較的新しいグループだと説明した。

 ハッキングフォーラムで1年近く出回っているスキミングキットを使っているという。

 ハッカーがしていることは、新米のバグハンターやセキュリティー研究者が日々の業務で行っていることと大差ない。つまり自動化されたS3スキャナーを使い、設定ミスのあるS3バケットを地道に見つけ出しているのだ。

 セキュリティー研究者の場合、発見した脆弱性のあるサーバーを報告して、わずかな報奨金を得ることになるが、ハッカーはその内容を改ざんする。

 支払いページが存在しないサイトのJavaScriptファイルにコードを埋め込む可能性が高いため、非常に効率の悪い攻撃手法だと思うかもしれない。しかし、Klijnsma氏は意見を異にする。

 「Magecartの従来の攻撃に、新しいひねりを加えている。このグループは、攻撃対象を過剰に拡大することを選んだが、その労力に報いるだけの利益を得られるほど、支払いページにスキマーを埋め込むことに成功しているのだろう」(同氏)

 ハッカーらは新しい攻撃手法へと移り、ウェブスキミングが廃れたのではないかと期待する人もいるかもしれないが、スキミング攻撃は、「ゆっくりと規模が拡大している」とKlijnsma氏は米ZDNetに対して述べた。

 Klijnsma氏は、「古い犯罪グループが手口を巧妙化して戻ってくるケースもあるが、スキミングは全体的に参入障壁が低いのが特徴だ」と述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]