Supply Chain Web Skimming Attacks Hit Dozens of Sites
2022/12/07 InfoSecurity — Jscrambler によると、これまでの1年間に新たに発見された Web スキミング・キャンペーンは、すでに 40以上の e コマースサイトを侵害しているという。JavaScript 保護ベンダーである Jscrambler は、ロシアのサーバにカードデータを流出させた Group X が、新しいサプライチェーン技術を用いて、侵害を繰り返していることを明らかにした。
同社は、「脅威アクターたちは、2014年12月にサービスを終了した、無料の Web マーケティング/分析サービスである Cockpit という、サードパーティの JavaScript ライブラリを悪用していた。彼らは、このライブラリをホストしていたドメイン名を取得し、同じ URL 経由でスキミング・スクリプトを配信していた。廃止されたドメインを再登録し、悪意のコードを配信するように設定することで、攻撃者は 40以上の e コマースサイトを侵害することに成功した」と述べている。
Jscrambler は、Web サイトのオーナーが、この種の非推奨のライブラリをサイトから削除しないことも多くあり、デッドリンクにつながり、危険にさらされる可能性があると指摘している。また、この問題は、サードパーティのコードに対する洞察力の欠如と、セキュリティ対策の不備に起因すると付け加えている。
同社 は、「大半のセキュリティ・チームは、Web サイト上で動作するサードパーティ製のコードを可視化できず、それが本来の動作をしているのか、それとも誤っているのか、あるいは悪意を持って動作しているのかを判別できない。このようなセキュリティの盲点は、リスク評価に対する誤った信頼感を生む可能性がある」と主張している。
しかし、Jscrambler は、侵害されたサイトの中には、使用していたコンテンツ管理システムや Web サイト生成サービスが、サードパーティのスクリプトを自動的にページに注入していたことで、影響が生じた可能性があることも指摘している。その場合には、権限の制約や知識の不足が原因となり、サイトから問題のライブラリを削除できないという可能性もあるという。
実際のところ、影響を受けたサイトの1つは、スキマーを削除するのではなく、支払いページ上でユーザーに対する警告を掲載していた。
Jscrambler は、前述の Group の他にも、2つの Web スキミング・グループを発見した。 Group Y と名付けたものは、Group X と同様のスキマーを用いていたが、ホームページにスクリプトを挿入する目的で Web サイトをダイレクトに攻撃していた。3番目の Group Z は、わずかに変更したスクリプトとサーバ構造を、攻撃に使用したようだ。
2014年12月にサービスを終了していた、無料の Web マーケティング/分析サービスの、ドメイン名/URL および JavaScript ライブラリが悪用されるという、かなり特異なケースだと思います。ただし、それによりサプライチェーン攻撃が成功して、40件以上の e コマースサイトが侵害されたとのことです。12月6日の「API の無秩序な広がり:IT リーダーの 68% が最大の懸念を示す」に記したように、この Dead Link に加えて、Zombi API や Shadow API が、今後の大きな問題になりそうですね。
IoT OT Security News 
You must be logged in to post a comment.