オンライン・ストアの 404 Not Found ページを改ざん:進化する Magecart アクターの戦術とは?

Hackers modify online stores’ 404 pages to steal credit cards

2023/10/09 BleepingComputer — Magecart における新たなカード・スキミング・キャンペーンは、オンライン小売業者の Web サイトの 404 エラー・ページを乗っ取り、そこに悪質なコードを隠し持ち、顧客のクレジット・カード情報を盗み出すというものだ。この手口は、Akamai Security Intelligence Group の研究者が観測した、3つの亜種のうちの1つに、この手口がある。他の、2つの手口は、HTML イメージ・タグの “onerror” 属性、イメージ・バイナリにコードを隠し持ち、Meta Pixel のコード・スニペットとして表示させるものだ。Akamai によると、このキャンペーンは Magento と WooCommerce のサイトに焦点を当てたものであり、被害者の中には、食品や小売の有名企業に関連する人々もいるという。


404 Not Found ページの操作

すべての Web サイトには 404 エラーページがある。そして、存在しない Web ページ/移動した Web ページ/リンク切れの Web ページがアクセスされたときに、それが訪問者に対して表示される。

この Magecart 脅威アクターは、デフォルトの “404 Not Found” ページを悪用して、隠している悪意のカード窃盗コードを読み込ませる。

Akamai は、「この隠蔽テクニックは、きわめて革新的なものであり、これまでの Magecart キャンペーンでは見られなかったものだ。標的の Web のデフォルト 404 Not Found ページを操作するというアイデアは、他の Magecart 脅威アクターたちにも、隠蔽と回避のための各種のクリエイティブなオプションを提供するだろう」と述べている。

このスキマー・ローダーは、Meta Pixel のコード・スニペットに偽装している場合や、侵害したチェックアウト Web ページに既に存在する、ランダムなインライン・スクリプト内に隠れている場合がある。

このローダーは、”icons” という相対パスへのフェッチ・リクエストを開始するが、このパスは Web サイト上に存在しないため、リクエストの結果は 404 Not Found エラーとなる。

当初、Akamai のアカマイの調査担当者は、このスキマーは、もはやアクティブではないもの、あるいは、Magecart グループが設定を間違えたのだと考えていた。しかし、よく調べてみると、このローダーには、404 Not Found ページでリターンされる HTML 内の、特定の文字列を検索する正規表現マッチが含まれていた。

そして、ページ上の文字列を特定したところ、コメントに隠され、base64 エンコードされた文字列が発見された。この文字列を解読したところ、すべての 404 Not Found ページに潜む JavaScript スキマーが判明した。

The string the loader looks for in the HTML
The string the loader looks for in the HTML (Akamai)

Akamai は、「存在しないパスへの追加のリクエストをシミュレートしたところ、そのすべてが、悪質なコードがエンコードされたコメントを取り込んだ、同じ 404 Not Found エラーページを返してきた。つまり、これらのチェックにより確認されたことは、Web サイト全体のデフォルト・エラーページの改ざんに成功した攻撃者が、その中に悪質なコードを隠し持っていたことである」と説明している。

このリクエストはファースト・パーティのパスに対して行なわれているため、チェックアウト・ページで不審なネットワーク・リクエストを監視する、大半のセキュリティ。ツールは、このリクエストを見過ごしてしまうだろう。

データを盗む

このスキマー・コードは偽のフォームを表示し、Web サイトへの訪問者に対して、クレジットカード番号/有効期限/セキュリティコードなどの機密情報を、入力するよう求めるものである。

Fake payment form
Fake payment form (Akamai)

それらのデータが、偽のフォームに入力されると、被害者に対しては偽の Session Timeout エラーが表示される。その一方で、すべての情報がバック・グラウンドで base64 エンコードされ、この文字列を含む画像リクエスト URL を介して。クエリー・パラメーターとして攻撃者に送信される。

The data exfiltration request
The data exfiltration request (Akamai)

このアプローチは、悪意のリクエストが良性の画像フェッチ・イベントを偽装しているため、ネットワーク・トラフィック監視ツールによる検出の回避において有効である。しかし、base64 文字列を解読すると、個人情報やクレジットカード情報が明らかになる。

404 Not Found を操作するケースは、侵害された Web サイト上の悪質なコードを、Web マスターが特定してサニタイズすることを困難にする。つまり、Magecart 脅威アクターの、継続して進化する戦術と多様性を浮き彫りにしている。

きわめて革新的なものであり、これまでの Magecart キャンペーンでは見られなかったものだと、Akamai が言うほどの、狡猾な攻撃手法が発見されました。404 Not Found ページという、誰もが見向きもしない対象を、攻撃の入り口として悪用する、Magecart キャンペーンが存在するそうです。オンラインショップの運営者とアドミンの方は、ぜひ、ご注視ください。よろしければ、カテゴリ MageCartAttack も、ご参照ください。