Cyberattack on Magento: Hackers Inject Skimmer, Card Data Stolen
2024/08/25 SecurityOnline — 最近のことだが、Magento プラットフォームを利用する、多数のオンライン・ストアに対するサイバー攻撃が発生している。この攻撃では、サイトにスキマーが挿入され、カード番号/有効期限/CVV/CVC コードといった、顧客の支払いカード・データが盗まれている。それを受けて、Malwarebytes の専門家たちが、ハッカーによる情報窃取の方法について詳述している。
Magento システムの脆弱性を悪用する攻撃者が、支払いページに悪意のコードを埋め込んでいる。そこコードは、リモート・サイトからコンテンツを読み込む。単純なスクリプト・ラインで構成されている。ハッカーたちは、盗んだデータを収集するために、複数の Web サイトを作成しているという。これまでの分析により、少なくとも数百のオンライン・ストアが侵害されたことが判明している。
このマルウェアは、支払いページでカードの詳細が入力されるときにアクティブになる。そして、コマース・ユーザーがデータを入力する瞬間に、スキマーがデータを傍受し、攻撃者のサーバへと送信している。あるストアの事例では、支払い処理にサードパーティが採用されていたが、スキマーがデータを傍受することで、そのプロセスが置き換えられていたという。
専門家たちが特定したのは、ハッカーがデータ収集に使用した数十の悪質なドメインであり、それらを脅威リストに追加することで、1,100件を超えるデータ盗難の試みを阻止できたようだ。
この悪質なデジタル・スキマーは、ユーザーに疑いを抱かせることなく、正当な支払いページにシームレスに統合されるため、きわめて検出が困難となる。このような脅威を特定するには、ネットワーク・トラフィックの綿密な監視、もしくは、開発ツールをもちいたページの分析が必要になる。
影響を受けたストアで、すでに悪質なコードの削除や、一時的に業務の停止といった措置が講じられている。ただし、侵害されたサイトの中には、依然として脆弱な状態を引きずっているものもある。
この種のスキマーによる被害の範囲は、金融情報だけに留まるものではないため、メールアドレス/自宅住所/電話番号などの個人情報の漏洩につながる可能性にも注意すべきだ。データ漏洩が疑われる場合に推奨されるのは、銀行に連絡してカードを再発行し、ID 保護プログラムの利用を検討することである。
2024年7月には Sucuri の専門家たちも、Magento の eコマース・プラットフォームにおける、の新たなデータ盗難の手口を発見している。そのときの攻撃者は、スワップ・ファイルを悪用することで、クレジット・カードのデータを盗み出すという、永続的なスパイウェアを埋め込んでいた。この、新たに特定された手口により、感染したシステム内の悪意のコードの耐性が大幅に向上し、複数回の削除にも簡単に耐えられることが判明している。
つい先日の 2024/08/19 には「PrestaShop サイトを狙う GTAG Websocket スキマー:精算のプロセス中に顧客情報を窃取」という記事をポストしていて、似たような話だと感じています。PrestaShop の方は、WebSocket の悪用という記述がありますが、今日の Magento にはありません。いずれのケースも、甚大な被害にいたる可能性のあるものです。オンライン・ショップ管理者の方は、十分にご注意ください。よろしければ、Magento で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.