大規模な Web スキミング・キャンペーンを検出:Casio UK などの 17の Web サイトに被害

Casio and 16 Other Websites Hit by Double-Entry Web Skimming Attack

2025/02/01 HackRead — 大手電子機器メーカーの Casio UK のサイトを含む、少なくとも 17の Web サイトに影響を与える、大規模な Web スキミング・キャンペーンが明らかになった。このキャンペーンによる感染を発見した研究者たちは、Magento などの e コマース・プラットフォームの脆弱性が悪用された可能性が高いとして、影響を受けた全ての関係者に通知する作業を行っている。

この、1月28日に検出された Web スキマー感染に関する詳細な情報が、クライアント・サイドの Web セキュリティ・プロバイダである Jscrambler から公表されている

このキャンペーンの調査を行った研究者 (Pedro Fortuna/David Alves/Pedro Marrucho) たちは、二重エントリーの Web スキミング攻撃が行われたと、Hackread.com に投稿したブログ記事で述べている。それぞれの被害者たちは、同一のロシアのホスティング・プロバイダからスクリプトを読み込んだと報告されている。それが示唆するのは、 Web スキミング・ツールキットが使用されたことである。

さらに調査を進めたところ、Magento Web ストアの脆弱なコンポーネントが原因となり、スキマー感染が発生した可能性が高いことが判明した。さらに、それらの中には 16年も前からのホスティング・ドメインもあり、すでに存在していないドメインの知名度を、攻撃者が悪用した可能性もあると見られている。

興味深いのは、このスキマーは、チェックアウト・ページを標的にする一般的なスキマーとは異なり、カート・ページを標的にしている点だ。このスキマーは ”Checkout” ボタンのクリックを横取りし、偽の複数ステップの支払いフォームを、ポップアップ・ウィンドウ内に表示させていた。このフォームは、名前/請求先住所/連絡先情報/クレジット・カード情報などの、機密情報を収集するために設計されている。

研究者たちによると、ダブル・エントリー・スキミングという手口が用いられたことになる。具体的に言うと、この偽のフォームに対して送信したユーザーは、その後にエラー・メッセージを受け取り、正規のチェックアウト・ページにリダイレクトされ、支払い情報を再入力するよう求められる。

なお、このスキマーには設計上の欠陥があり、”Add to Basket” ではなく “Buy now” をクリックしたユーザーは、影響を受けなかったという。しかし、このスクリプトは巧妙な検知回避の能力を示し、特定の状況下ではスキミング・サーバからの返信が隠されるようになっていた。Jscrambler の研究者たちは、この動作を何度も確認している。

Casio and 16 Other Websites Hit by Double-Entry Web Skimming Attack
Skimmer on Casio UK site (left) – Fake form stealing payment data (right) – Via Jscrambler Research team

Casio UK サイトへの攻撃では、2段階のスキマーが使用されていた。1段階目のローダーは、珍しく難読化されておらず、典型的なサードパーティ・スクリプトとして紛れ込むように設計されていた。このローダーは、より複雑に難読化された、2段階目のスキマーを注入するものだ。そして、2段階目のスキマーは、検出を回避するために、カスタム・エンコーディングや XOR ベースの文字列隠蔽などの技術を採用していた。

盗まれたデータは、外部へ流出する前に AES-256-CBC で暗号化されていたが、外部流出リクエストに含まれていたキーと初期化ベクターを使用することで、研究者たちはデータの復号化に成功した。外部に流出した情報には、請求先住所/連絡先の詳細/クレジット・カード情報などの、あらゆる機密データが含まれていた。

2025年1月14日〜24日に感染が確認された Casio UK のケースでは、警告が届いてから 24時間以内に、同社による対処が完了した。調査の結果、Casio UK における、CSP (Content Security Policy) のレポート専用モードの設定と、適切なレポート作成メカニズムの欠如が原因となり、攻撃を防ぐには不十分だったことが判明した。

研究者たちは、「”casio.co.uk” のスキミング・インシデントが示しているのは、CSP は比較的シンプルな規格だが、管理が難しいと捉えられがちな点である。CSP の設定/運用のミスを避けるために、ブロックよりもレポート専用の設定が、多くの企業により選択される傾向にあるが、それにより CSP の利点の大部分が失われてしまう」と結論づけている。

Casio が遭遇したデータ侵害に関しては、つい先日の 2025/01/07 に「Casio への Underground ランサムウェア攻撃:8,500 人分の個人情報を窃取」という記事がポストされています。オンラインショップを運営する方々は、ご注意ください。よろしければ、Magento で検索も、ご参照ください。