Magecartが招く混沌
まもなくバーベキューや野球観戦をしたり、裏庭で遊んだりできる夏がやってきますが、小売業、ハイテク産業、製造業における昨年のセキュリティ侵害の最大の原因は何だったのだろうと考えるのは無理もありません。F5 Labsでは、それはMagecartであると考えています。
「Magecart」とは一体何でしょうか?Magecartとは、実はサイバー犯罪集団に付けられた用語です。少なくとも12のグループが関与しており、それぞれが得意分野を持っています。たとえば、2018年に発生したTicketmasterへの攻撃にはGroup 5が関与していますが、この種の攻撃は2014年以降、Group 1を皮切りに発生しています。
このグループは手始めに、脆弱なサーバーを悪用したり、ショッピング カート ページを侵害したりしました。独自の悪質なソフトウェアを使ってコンテンツ、コード、スクリプトを書き換え、クレジット カード情報や個人情報を盗んだのです。
現在では、サードパーティの広告サービスを通じて配信されるWebコード インジェクション攻撃により、決済情報をかすめ取ることができるまでに進化しています。攻撃者は広告サービスを侵害し、悪意のあるコードを注入します。侵害されたJavaScriptライブラリは、広告サービスが提供するeコマース サイトに読み込まれます。顧客がクレジット カード情報を入力している間、そのデータを盗むためにスキマーがバックグラウンドで動作しています。スキミングされたデータはサーバーに保存され、地下組織の売買業者の手に渡って、商品の購入やブランクカードへの書き込みに使用されます。そして、顧客は何が起きたかわからないというのがお決まりのパターンです。
Ticketmaster(前述)、New Egg、Sotheby's、British Airwaysはすべて被害者です。実は、Ticketmasterの場合、彼ら自身が直接侵害されたわけではなく、サードパーティのサプライヤが侵害されたのです。Ticketmaster用に作成されたカスタムJavaScriptモジュールがデジタル スキマーのコードに置き換えられました。しかし、彼らだけではありません。何百ものサイトがこのような手口で侵害されています。
サードパーティのシステムを侵害することは、標的に侵入するのにうってつけの手口です。サードパーティはセキュリティ層の薄い中小企業である場合が多く、標的に直接アクセスすることができます。かつて、バックエンドのネットワーク接続が適切にセグメント化されていないことや何らかの認証で保護されていないことを利用して、攻撃が行われていたのを覚えていますか?それがデジタル広告であることを除けば、現在もほとんど同じです。配信は他の誰かに任せましょう。
デジタル カード スキミングは、成功する確率が高く、比較的簡単であるため、犯罪者にとって魅力的な手口です。その他の攻撃を成功させるには、マルウェアや直接的な侵害、あるいはソーシャル エンジニアリングなどが必要です。時間や労力がかかり、専門知識が必要になることもあります。しかも、Magecartに比べて成功率は低くなります。手軽に大金を稼げる手口を使わないわけはありません。
成功のもう一つの理由は、顧客にほとんど気付かれないことです。送料無料に喜んで支払い情報を入力している間に、スキマーはそのデータを奪おうと密かに待ち構えています。従来のスキマーは、ATM、給油ポンプ、セルフレジ端末などに物理的に取り付けられていました。実際の挿入口を覆う部品や、装置と一体化するように作られた薄い膜だったのです。このような物理的な脅威は、カードの挿入口をよく見たり指でなぞったりして違和感があれば阻止できますが、デジタルの場合、それに気付くのはほとんど不可能です。インジェクション攻撃がOWASP Top 10の上位にあり続けるのも当然です。
攻撃者はコードが検出されないように絶えず手を加えています。難読化や暗号化、さらにはサイト上で既に実行されている他のカード スキミング ソフトウェアを妨害し、無効化することもあります。あるケースでは、スクリプトがブラウザのデバッガ コンソール メッセージを絶えず消去して、検出と分析を妨害していました。TrendMicroによると、Group 12のスクリプトは、「billing」、「checkout」、「purchase」などのキーワードがURLに含まれていないかどうかをチェックするまでに至っています。さらに、フランス語で「かご」を意味する「panier」や、ドイツ語で「レジ」を意味する「kasse」を含めることで、ローカライゼーションにも対応しています。対象の文字列を見つけると、スクリプトはスキミングを開始し、各被害者を識別するための乱数が生成されます。被害者がブラウザを閉じたり更新したりすると、別のJavaScriptイベントがオフになり、入手した支払いデータ、eタグ(乱数)、eコマース ドメインがリモート サーバーに送信されます。
RiskIQによると、Magecartは大規模な能動的脅威であり、TargetやHome DepotでのPOSセキュリティ侵害よりも深刻化する可能性があります。研究者はこのリスクを認識しつつありますが、すべての攻撃を検知できるわけではありません。犯罪者はさらに巧妙なのです。
多くのセキュリティ脅威と同様に、階層化された多層防御のアプローチが重要です。もちろん、すべてのサーバーにパッチを適用し、機密性の高いシステムをセグメント化することが重要です。また、拡張機能やサードパーティ システムをすべて最新の状態にしておく必要もあります。さらに、CDN(外部ソース)や他のドメインを通じて配信されるコンテンツやファイルが変更または改ざんされていないことを確認することも重要です。また、Magecartによって悪用される既知の脆弱性に特化したシグネチャやルールセットを備えたWAFが役に立つでしょう。
このような攻撃は絶えず進化し、より巧妙化して、新たな標的を探しています。また、サプライチェーン攻撃により、犯罪者は何千ものサイトに侵入できるようになります。しかも同時にです。
最後に、どのようなセキュリティ侵害であっても、クレジット カード、銀行、財務報告書に異常な取引がないか、定期的に確認することをお勧めします。見つけたら報告してください。
Magecartやその他のインジェクション脆弱性の詳細については、F5 Labsの「Application Protection Report 2019, Episode 3: Web Injection Attacks Get Meaner」をご覧ください。
