Magento を標的とする大規模キャンペーン:7,500 以上の Web サイトでデータ窃取を確認

Hackers Compromised 7,500+ Magento Websites to Upload Hidden Malicious Files and Steal Data

2026/03/20 CyberSecurityNews — 2026年2月下旬以降に発生した、大規模なサイバー攻撃キャンペーンにより、Magento ベースの 7,500 以上の EC Web サイトが侵害されている。攻撃者たちは、数千のドメインにまたがる公開 Web ディレクトリに悪意のファイルをアップロードしている。この攻撃は、15,000 以上のホスト名へ拡大し、数多くの国々の商用ブランド/政府機関/大学/非営利組織に影響を及ぼしている。近年に観測された Magento を標的とするキャンペーンの中でも、きわめて広範囲に影響を及ぼすものである。

Magento は世界で最も広く利用されている EC プラットフォームの一つであり、小規模店舗から大規模エンタープライズ・ストアフロントに至るまでの、広範な規模の Web サイトを支えている。この普及率の高さにより、最小限の労力で多数の Web サイトを同時に侵害できるため、攻撃者にとって極めて魅力的な標的となっている。

一度有効な攻撃手法を確立した脅威アクターたちは、その手口を急速にスケールさせることが可能となる。このキャンペーンでも、開始から数週間のうちに数千のドメインが侵害された。2026年2月27日の時点で最初の活動を特定した Netcraft の研究者たちは、その後の攻撃の拡大を継続的に追跡している。

Defacement observed on an e-commerce storefront environment (Source - Netcraft)
Defacement observed on an e-commerce storefront environment (Source – Netcraft)

被害が確認された主な組織には、Toyota/Fiat/Citroen/ASUS/Diesel/Fila/Bandai/FedEx/BenQ/Yamaha/Lindt などが含まれる。侵害の多くは、コアの本番環境ではなく、サブドメイン/ステージング環境/地域別ストアフロントで発生していたが、一部では顧客向けの本番サイトにも一時的な影響が確認されている。

Example of a compromised staging or regional storefront domain (Source - Netcraft)
Example of a compromised staging or regional storefront domain (Source – Netcraft)

このキャンペーンは、商用領域を超えて拡大しており、地方自治体のサービス・ドメイン/ラテンアメリカとカタールの大学 Web サイト/国際的な非営利組織のインフラに加えて、Trump Organization 関連ドメイン (trumpstore.com/booktrump.com/trumphotels.com) などで改竄が確認されている。ただし、これらの知名度の高いサイトは、脆弱な Magento インフラを無差別に探索する過程で巻き込まれたものと分析されている。

Example defacement page displaying attacker aliases and “greetz” message (Source - Netcraft)
Example defacement page displaying attacker aliases and “greetz” message (Source – Netcraft)

改竄されたページの多くは、単純なテキスト・ファイルで構成され、L4663R666H05T/Simsimi/Brokenpipe/Typical Idiot Security といった攻撃者名と “greetz” メッセージが含まれている。これはデフェイスメント・コミュニティにおける一般的な慣行であり、協力者や関係者への言及を目的としたものである。また、2026年3月7日に確認された一部の改竄には、地政学的メッセージが含まれていたが、これはキャンペーンの主目的ではなく、通常の活動パターンから逸脱した例外的なインシデントとされている。

侵入経路:ファイル・アップロードの脆弱性

一連の攻撃は、一部の Magento 環境に影響を与える、認証不要のファイル・アップロードの脆弱性に関連する可能性が高いという。この種の欠陥を突く攻撃者は、認証情報を必要とせずに Web サーバに直接ファイルを書き込めるため、きわめて危険な存在となる。この攻撃手法においては、脆弱なエンドポイントを通じて任意の場所へファイルを配置するという直接的な経路が悪用される。

Magento Community 2.4.9-beta1 を実行するテスト環境において、Netcraft の研究者たちは “.txt” ファイルのアップロードに成功している。この結果が示すのは、最新バージョンであっても、特定のサーバ・コンフィグ下では脆弱性が残存する可能性である。

Text file uploaded to a test Magento Community instance by Netcraft (Source - Netcraft)
Text file uploaded to a test Magento Community instance by Netcraft (Source – Netcraft)

今回の侵害の範囲には、Magento Open Source/Magento Enterprise/Adobe Commerce/Adobe Commerce (B2B モジュール含む) などが含まれる。すでに Adobe は、Adobe Commerce の複数の脆弱性に関するセキュリティ情報を公開しているが、このキャンペーンで観測された挙動は、公開された修正内容と完全には一致していない。さらに、2025年10月に確認された Magento の “SessionReaper” 脆弱性と、今回のキャンペーンの類似点が、不正なファイル・アクセスを伴う点で共通していると指摘されている。

デフェイスメント・アーカイブである Zone-H において、数多くの侵害されたページは “Typical Idiot Security” の名で報告されている。それが示唆するのは、攻撃者が自身の活動を記録し、コミュニティ内での評価や認知を得ようとしている状況である。

Magento 環境を運用する組織に対して強く推奨されるのは、すべてのファイル・アップロード・エンドポイントを直ちに確認し、Adobe Commerce のセキュリティ・アップデートを即時適用し、Web ディレクトリ内への不正なファイルの追加を監視し続けることである。公開パス上で不審なファイルが発見された場合には、徹底的な調査が必要である。

この記事の執筆時点でも、新たな侵害が継続して確認されているため、迅速な対応が不可欠である。

今回の攻撃は、Adobe Commerce や Magento Open Source における深刻な脆弱性が原因となっています。具体的には、認証を必要とせずに Web サーバへ直接ファイルを書き込めてしまう不適切なファイル・アップロードが問題となっています。この挙動は、既存の脆弱性や特定のサーバ・コンフィグ下で発生する不備を突いたものと考えられています。ログイン情報を必要としない攻撃者が、任意のコードを実行できる環境が整ってしまったことが、短期間での大規模な被害につながりました。ご利用のチームは、ご注意ください。よろしければ、CosmicSting および SessionReaper での検索結果も、ご参照ください。