Over 200 Magento Stores Compromised In Rootkit Rampage via Zero-Day Exploit
2026/01/30 gbhackers — Magento を利用する EC プラットフォームを標的として、脆弱性 CVE-2025-54236 を悪用する危険な攻撃キャンペーンが確認された。この SessionReaper と呼ばれる脆弱性を悪用する攻撃者は、無効化されたはずのセッション・トークンを再利用することで認証をバイパスし、セッションをハイジャックすることでサーバ全体の完全な奪取を引き起こす。
Continue reading “Magento ストア 200 件超を侵害:脆弱性 CVE-2025-54236 の悪用と Rootkit の展開”New Magecart Campaign Steals Credit Card Details During Online Checkouts
2026/01/14 gbhackers — 遅くとも 2022年1月から、e コマース Web サイトからクレジットカード情報を積極的に窃取する、大規模かつ高度な Web・スキミング・キャンペーンが展開されている。このキャンペーンは Magecart 攻撃の一種であり、American Express/Diners Club/Discover/Mastercard/JCB/UnionPay など、複数の主要決済ネットワークを標的としており、オンライン・ショッピング利用者および e コマース・プラットフォームの双方を深刻なリスクにさらしている。この活動は Silent Push Preemptive Cyber Defense のサイバーセキュリティ研究者により特定されたものであり、オンライン・コマースを標的とした高度に組織化され、技術的成熟度の高い脅威と言える。
Continue reading “大規模な Magecart スキミング・キャンペーンを検出:オンライン決済時にクレジットカード情報を窃取”New Ghost-Tapping Attacks Target Apple Pay and Google Pay Users’ Linked Cards
2025/08/18 gbhackers — NFC (Near Field Communication) リレーを Ghost-Tapping 技術で悪用する中国語圏のサイバー犯罪者たちは、決済カード詐欺を巧妙に進化させている。彼らの主要な標的は、Apple Pay や Google Pay などのモバイル決済サービスに集中している。この攻撃ベクターは、侵害したデバイスから盗み出した決済カードの認証情報を、使い捨て携帯電話に中継して、不正な非接触型の取引を仕掛け、小売詐欺を働くというものである。
Continue reading “Ghost-Tapping 攻撃:Apple Pay/Google Pay ユーザーから決済カード情報を盗み出す”Magento supply chain attack compromises hundreds of e-stores
2025/05/02 BleepingComputer — Magento エクステンション 21種類を狙うサプライチェーン攻撃により、500~1,000 件の eコマース・ストアが侵害を受けており、その中には、$40 billion 規模の多国籍企業のものも含まれている。この攻撃を発見した Sansec の研究者によると、2019年から一部のエクステンションにはバックドアが仕掛けられていたが、悪意のあるコードが有効化されたのは、2025年4月になってからだという。
Continue reading “Magento エクステンションを狙うサプライチェーン攻撃:6年前から Tigren/Meetanshi/MGS が標的化?”WooCommerce Users Targeted by Fake Security Vulnerability Alerts
2025/04/25 gbhackers — WooCommerce ユーザーを標的とする、大規模なフィッシング・キャンペーンの存在を、Patchstack セキュリティ・チームが発見した。このキャンペーンは、きわめて洗練されたメールと Web ベースのフィッシング・テンプレートを用いて、Web サイト所有者を欺いていく。
Continue reading “WooCommerce 管理者を標的とする偽のセキュリティ警告:フェイク・パッチへの誘導に要注意”Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data
2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証”2025/03/11 SecurityOnline — 人気の WordPress プラグイン HUSKY (旧 WOOF:WooCommerce Products Filter Professional)に重大な脆弱性が発見され、10 万以上のオンライン・ストアが完全に侵害される危険にさらされている。この脆弱性 CVE-2025-1661 (CVSS:9.8) の悪用に成功した未認証の攻撃者は、影響を受けるサーバ上で任意のファイルを操作し、データ侵害/サイト改竄に加えて、システムを完全に制御する可能性を得る。
Continue reading “WordPress HUSKY (WOOF) の脆弱性 CVE-2025-1661 が FIX:任意の PHP コードの挿入と実行”Credit Card Skimmer campaign targets WordPress via database injection
2025/01/13 SecurityAffairs — WordPress の CMS データベース・テーブルに、悪意の JavaScript を挿入して電子商取引サイトを狙う、ステルス型のクレジットカード・スキマー・キャンペーンについて、Sucuri の研究者たちが警告している。この攻撃者は、悪意のコードを WordPress の wp_options テーブルに隠し、widget_block に難読化された JavaScript を挿入してファイル・スキャンを回避し、持続性を維持しているという。
Continue reading “WordPress のデータベースに侵入:新手のクレジットカード・スキマーが発覚”Unpatched Vulnerabilities in Fancy Product Designer Plugin Put 20,000+ Websites at Risk
2025/01/09 SecurityOnline — WordPress のプレミアム・プラグインである Fancy Product Designer に、深刻な脆弱性 CVE-2024-51919/CVE-2024-51818 が存在することが、Patchstack のセキュリティ研究者である Rafie Muhammad により発見された。このプラグインは Radykal が開発したものであり、WooCommerce での製品カスタマイズ用に設計され、ユーザーに対して自由なデザインとパーソナライズを提供している。この Fancy Product Designer に、深刻なセキュリティ上の欠陥が発見されたことで、20,000 以上の WordPress サイトがリスクにさらされている。
Continue reading “WordPress Fancy Product Designer の脆弱性 CVE-2024-51919/51818:20,000以上のサイトが未パッチ!”Credit Card Skimmer Malware Uncovered: Targeting Magento Checkout Pages
2024/11/28 SecurityOnline — 大手 e コマース・プラットフォーム でMagento が、いつものように、巧妙なサイバー犯罪者の攻撃の標的になっている。先日に、Sucuri のセキュリティ・アナリスト Puja Srivastava が報告したのは、Magento で稼働している Web サイトを侵害する、悪意の JavaScript インジェクションに関する情報である。この新しいマルウェアは、チェックアウト ページをターゲットにして、支払いに関する情報機密のを、密かに盗み出しているという。
Continue reading “Magento Checkout Pages が標的:動的なクレジットカード・スキマーとは?”CVE-2024-48914 (CVSS 9.1): Critical File Read Flaw Discovered in Vendure E-commerce Platform
2024/10/18 SecurityOnline — 人気の OSS ヘッドレス Eコマースのプラットフォーム Vendure に、深刻なセキュリティ脆弱性 CVE-2024-48914 (CVSS:9.1) が発見された。この脆弱性の悪用に成功した攻撃者は、サーバからの任意のファイル読み取りを達成し、コンフィグ・ファイルや環境変数などの機密情報を漏洩させる可能性を手にする。
Continue reading “EC プラットフォーム Vendure の脆弱性 CVE-2024-48914 が FIX:PoC も提供”Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug
2024/10/02 SecurityAffairs — Adobe Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS:9.8) を悪用する複数の脅威アクターが、この3ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。
Continue reading “Adobe Commerce/Magento の脆弱性 CosmicSting による被害:オンラインストアの5%が侵害”Payment gateway data breach affects 1.7 million credit card owners
2024/09/09 BleepingComputer — 決済ゲートウェイ・プロバイダーである Slim CD は、約 170万人分のクレジットカード情報と個人データが奪われるという、データ侵害について明らかにした。同社は、影響を受けた顧客に送付した通知の中で、2023年8月〜2024年6月の1年近くにわたってハッカーがネットワークにアクセスしていたと述べている。Slim CD は、決済処理ソリューションのプロバイダーであり、Web/モバイル/デスクトップのアプリを介して、ユーザー企業に対して電子決済やカード決済を提供している。
Continue reading “Slim CD から 170万人分のクレカ情報が流出:決済ゲートウェイが遭遇した侵害とは?”Travelers Targeted: Booking.com Phishing Scam Unveiled
2024/09/03 SecurityOnline — オンライン旅行予約プラットフォームの Booking.com を標的とする、巧妙なフィッシング・キャンペーンについて詳述されたレポートが、OSINTMATTER から公開された。この攻撃は、ホテル支配人のアカウントの侵害から始まり、Booking.com のアプリを通じてホテルの顧客をダイレクトに騙すという、多段階のアプローチで構成されている。
Continue reading “Booking.com を狙うフィッシング:ホテルのアカウント侵害から個人アカウントの侵害へ”Cyberattack on Magento: Hackers Inject Skimmer, Card Data Stolen
2024/08/25 SecurityOnline — 最近のことだが、Magento プラットフォームを利用する、多数のオンライン・ストアに対するサイバー攻撃が発生している。この攻撃では、サイトにスキマーが挿入され、カード番号/有効期限/CVV/CVC コードといった、顧客の支払いカード・データが盗まれている。それを受けて、Malwarebytes の専門家たちが、ハッカーによる情報窃取の方法について詳述している。
Continue reading “Magento コマース・サイトへのスキマー注入:データ入力の瞬間にデータを傍受する手口とは?”PrestaShop Websites Under Attack: GTAG Websocket Skimmer Steals Cre
2024/08/19 securityonline — eコマース Top-10 に入る PrestaShop だが、その脆弱性を悪用する新たなクレジットカード・スキマーが、Sucuri のセキュリティ研究者たちにより発見された。この巧妙な攻撃は、WebSocket 接続を使用するものであり、精算のプロセス中に顧客の機密情報を盗み取るというものだ。その、GTAG Websocket Skimmer と名付けられ新たなマルウェアは、PrestaShop のコア・ファイルに悪意のコードを注入することで、従来のセキュリティ・ツールにより検知を回避し、ユーザーが購入を完了する際に、リアルタイムでクレジットカード情報を取得する。
Continue reading “PrestaShop サイトを狙う GTAG Websocket スキマー:精算のプロセス中に顧客情報を窃取”Adobe Issues Critical Security Updates for Commerce and Magento Platforms
2024/08/14 SecurityOnline — 人気 eコマース・プラットフォームである Adobe Commerce と Magento Open Source 向けの、重要なセキュリティ・アップデートがリリースされた。このアップデートには、さまざまな脆弱性の修正が取り込まれているが、その中には、悪意のコード実行/機密ファイルの窃取/セキュリティ機能の回避などに加えて、システムの完全な制御の乗っ取りを、攻撃者に対して許すものもあり得るという。
Continue reading “Adobe Commerce/Magento Open Source 向けの複数の脆弱性が FIX”Cybercriminals Exploit Swap Files: New E-commerce Skimming Tactic
2024/07/20 SecurityOnline — Sucuri のセキュリティ・アナリストたちが発見したのは、スワップ・ファイルを悪用するサイバー犯罪者がクレジット・カード・スキマーを永続的に維持し、電子商取引サイトを標的とする新たな攻撃手法である。この形態のインシデントは Magentoサイトで発生し、チェックアウト・ページに埋め込まれた悪意のスクリプトにより、機密性の高い顧客データが不正に取得される。
Continue reading “新たな E-commerce Skimming 戦術:Megento サイトで発見されたスワップ・ファイルの悪用とは?”CVE-2024-6457 (CVSS 9.8): Critical Flaw in HUSKY Plugin Threatens 100K+ WooCommerce Stores
2024/07/16 SecurityOnline — 広く使用されている WordPress プラグイン HUSKY – Products Filter Professional for WooCommerce に重大なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-6457 の CVSS スコアは 9.8 (Critical) であり、10万以上の WooCommerce オンラインストアに対する、不正なデータ侵害が生じる恐れがある。
Continue reading “WooCommerce HUSKY Plugin の脆弱性 CVE-2024-6457 (CVSS 9.8) が FIX:ただちにアップデートを!”Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands
2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名:CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、1時間あたり 3~5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。
Continue reading “脆弱性 CosmicSting CVE-2024-34102:1時間に 3~5件のペースで侵害される Magento ストア”Neiman Marcus confirms data breach after Snowflake account hack
2024/06/25 BleepingComputer — 高級小売店の Neiman Marcus は、最近の Snowflake データ盗難攻撃の被害に遭遇し、同社から盗み出されたデータベースの売却を、ハッカーが試みていたことを明らかにした。同社がメイン州の司法長官事務所に提出したデータ流出通知によると、この流出により影響を受けた人々は 64,472人に及ぶという。この通知の中で Neiman Marcus は、「2024年4月 〜 5月に、Neiman Marcus グループが使用しているデータベース・プラットフォームに、脅威アクターが不正アクセスしていたことが、5月に入ってから判明した。さらに、当社の調査により、データベース・プラットフォーム上の個人情報が、この脅威アクターにより盗み出されていたことが判った」と述べている。
Continue reading “Neiman Marcus のデータ侵害:Snowflakeアカウントのハッキングで個人情報が漏えい”Facebook PrestaShop module exploited to steal credit cards
2024/06/23 BleepingComputer — PrestaShop 用のプレミアム Facebook モジュールである、pkfacebook の脆弱性を悪用するハッカーが、脆弱なeコマースサイトにカード・スキマーを展開し、ユーザーの決済用クレジットカード情報を盗んでいることが判明した。PrestaShop は、オンライン・ストアの作成/管理のための、オープンソースのeコマース・プラットフォームである。2024年現在において、個人や企業を問わず、世界中で約 300,000 件のオンライン・ストアに利用されている。
Continue reading “PrestaShop モジュール pkfacebook の脆弱性 CVE-2024-36680:クレカ情報の窃取で悪用”Over 30,000 WooCommerce Sites Exposed by Critical Plugin Flaw (CVE-2024-6027)
2024/06/21 SecurityOnline — WordPress の人気プラグイン “WooCommerce Product Filter” の脆弱性により、30,000 以上のオンラインストアが深刻なデータ漏えいの危機にさらされている。脆弱性 CVE-2024-6027 (CVSS:9.8) の悪用に成功した攻撃者は、ストアのデータベースから顧客名/住所/クレジットカードなどの機密情報を窃取する可能性を手にする。
Continue reading “WooCommerce プラグインの脆弱性 CVE-2024-6027 が FIX:30,000 以上のサイトが危険な状態”PrestaShop Sites Under Attack via Facebook Module Vulnerability (CVE-2024-36680)
2024/06/20 SecurityOnline — Promokit.eu が提供する、人気モジュール PrestaShop Facebook (pkfacebook) に存在する脆弱性が、サイバー犯罪者たちにより活発に悪用されていることが判明した。この脆弱性 CVE-2024-36680 (CVSS:9.8) の悪用に成功した権限のないユーザーが、悪意の SQL コードを Web サイトのデータベースに注入することで、eコマース・プラットフォームの完全な乗っ取りにいたる可能性があるという。
Continue reading “PrestaShop Facebook モジュールの脆弱性 CVE-2024-36680:SQLi 攻撃が発生”Adobe Patches Critical Flaws in Multiple Products, Urging Users to Update
2024/06/12 SecurityOnline — Adobe のソフトウェア製品群に存在する、脆弱性に対処するためのセキュリティ更新プログラムがリリースされた。これらの脆弱性が悪用されると、コード実行/不正アクセス/情報漏洩などにつながる可能性があるため、ユーザーに対して強く推奨されるのは、Adobe のソフトウェアの速やかなアップデートである。
Continue reading “Adobe の Patch Tuesday 6月:167件のセキュリティ脆弱性が修正された”Security Flaws Found in Popular WooCommerce Plugin
2024/06/07 InfoSecurity — WordPress のプラグイン WooCommerce Amazon Affiliates (WZone) に、3つの脆弱性が存在することが、Patchstack により明らかにされた。Amazon アフィリエイト・プログラム経由で、Web サイト運営者やブロガーの収益化を支援するように、WooCommerce Amazon Affiliates は設計されている。AA-Team により開発された、この WordPress プラグインは、35,000 以上の販売実績を有している。先日に発見された脆弱性は、バージョン 14.0.10 を含む、すべてのテスト済みバージョンに影響を与えるものであり、バージョン 14.0.20 以降にも影響を与える可能性があるという。
Continue reading “WordPress WooCommerce Plugin に3つの脆弱性:公式パッチは未適用”Critical Security Flaws Uncovered in Popular WordPress eCommerce Theme XStore
2024/05/17 SecurityOnline — WordPress プラットフォーム上におけるオンライン・ストア構築のためのツールとして、広く利用されている XStore テーマと、それに付随する XStore Core プラグインに、一連の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、Web サイトの乗っ取り/データ侵害/悪意のコード注入などの、さまざまな悪意のアクションを引き起こす可能性を持つ。
Continue reading “XStore の Eコマース・テーマの深刻な脆弱性が FIX:WordPress/WooCommerce が危険な状態に”CVE-2024-34716: Critical Security Vulnerability Uncovered in PrestaShop
2024/05/16 SecurityOnline — 2007 年以降において、PrestaShop プロジェクトは、全世界で 30 万以上の Web ストアをサポートしている、オープンソースの主要な E コマース・プラットフォームである。PrestaShop は、カスタマイズ性/主要決済サービスのサポート/多言語およびローカライズされたオプション/完全なレスポンシブ・デザインで有名である。その PrestaShop が、先日に発表したのは、2つの深刻な脆弱性に対するセキュリティ・アドバイザリである。
Continue reading “PrestaShop の脆弱性 CVE-2024-34716/34717 が FIX:ただちにパッチを!”Magecart Attackers Pioneer Persistent E-Commerce Backdoor
2024/04/06 DarkReading — Magecart 攻撃者たちが、新しい手口を確立しようとしている。それは、自動的にマルウェアをプッシュできる永続的なバックドアを、電子商取引 Web サイト内に隠し持つ戦術である。Sansec の研究者たちによると、その脅威アクターが悪用するのは、Adobe Magento eコマース・プラットフォームに存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2024-20720 (CVSS:9.1) であるという。
Continue reading “Magento の脆弱性 CVE-2024-20720:Magecart 攻撃が観測されている”CVE-2024-27917: Critical Vulnerability in Popular E-Commerce Platform Shopware 6
2024/03/06 SecurityOnline — オープンソースのeコマース・プラットフォームとして広く利用されている、Shopware 6 に深刻な脆弱性 CVE-2024-27917 が発見された。この脆弱性は、オンラインストアを著しく混乱させ、顧客のショッピング環境に影響をおよぼす可能性がある。
Continue reading “Shopware に深刻な脆弱性 CVE-2024-27917:直ちにアップデートを!”DDoS Evolves: 2023 Trends Reveal Attackers Shift Tactics, Target E-commerce
2024/02/18 SecurityOnline — 分散型サービス拒否 (DDoS) 攻撃の世界において、2023年は著しく変革する年となった。Qrator Labs の力作であるレポートでは、商業ツールとしての DDoS の戦略的武器化や、電子商取引プラットフォームを狙った攻撃の執拗な増加、そして、適応的な防御戦略を必要とする複雑化する脅威の状況などの、いくつかの憂慮すべき動向が明らかにされている。
Continue reading “DDoS 2023 調査:UDP フラッド攻撃が急増 – Qrator Labs”Ecommerce Alert: Shopware Hit by Critical-Risk CVE-2024-22406 Flaw
2024/01/17 SecurityOnline — あらゆる規模の企業に対して、オンライン・ストア作成/管理の機能を提供する、オープンソースの e コマース・プラットフォーム Shopware に、深刻な脆弱性 CVE-2024-22406 (CVSS:9.3) が発見された。この人気のオープンソース・プラットフォームに依存している企業は、重大な脅威にさらされる可能性がある。
Continue reading “Shopware の深刻な脆弱性 CVE-2024-22406 が FIX:SQLi の可能性”Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft
2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、eコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。
Continue reading “Magecart キャンペーンの現状:不正な WordPress プラグインでカード情報を窃取”Hackers modify online stores’ 404 pages to steal credit cards
2023/10/09 BleepingComputer — Magecart における新たなカード・スキミング・キャンペーンは、オンライン小売業者の Web サイトの 404 エラー・ページを乗っ取り、そこに悪質なコードを隠し持ち、顧客のクレジット・カード情報を盗み出すというものだ。この手口は、Akamai Security Intelligence Group の研究者が観測した、3つの亜種のうちの1つに、この手口がある。他の、2つの手口は、HTML イメージ・タグの “onerror” 属性、イメージ・バイナリにコードを隠し持ち、Meta Pixel のコード・スニペットとして表示させるものだ。Akamai によると、このキャンペーンは Magento と WooCommerce のサイトに焦点を当てたものであり、被害者の中には、食品や小売の有名企業に関連する人々もいるという。
Continue reading “オンライン・ストアの 404 Not Found ページを改ざん:進化する Magecart アクターの戦術とは?”Scams Now Make Up 75% of Cyber-Threats
2023/09/21 InfoSecurity — Norton の最新データによると、2023年上半期において、デスクトップを標的とする脅威の 75% を、人為的な操作を伴う詐欺が占めているという。コンシューマ向けのセキュリティ・ベンダーである Norton は、Consumer Cyber Safety Pulse レポートを作成するために、トラッキング/ブロックにおける独自のデータを分析した。その結果として、2023年上半期に 15億件以上の脅威をブロックしたが、そこに含まれるものとして、800万件のフィッシング試行および、350万件のデスクトップ脅威、約 33,000件のモバイル脅威があると主張している。
Continue reading “オンライン詐欺の動向:偽 Eショップ/性的脅迫/偽技術サポートが急増 – Norton 調査”Bot Attack Costs Double to $86m Annually
2023/09/21 InfoSecurity — Netacea の最新レポートによると、悪質なボット攻撃が原因となり、一般的な米国/英国の企業は、毎年オンライン収益の 4% 以上を失っているという。Netacea の Death by a Billion Bots レポートは、米国と英国におけるツアー/エンターテインメント/eコマース/金融サービス/電気通信の各分野において、440社を対象とした調査から作成された。なお、それらの企業におけるオンライン収益は、平均で $1.9bn にいたるという。
Continue reading “ボット攻撃による利益損失は平均で $86m:2020年の $33.3m から急増”New Python Variant of Chaes Malware Targets Banking and Logistics Industries
2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。
Continue reading “Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている”Ongoing Xurum Attacks on E-commerce Sites Exploiting Critical Magento 2 Vulnerability
2023/08/14 TheHackerNews — Adobe の Magento 2 ソフトウェアを使用する E コマース・サイトが、遅くとも 2023年1月以降に発生しているキャンペーンで、継続的に標的とされている。この、Akamai により Xurum と名付けられた攻撃は、Adobe Commerce および Magento Open Source の、すでにパッチ適用されている深刻な脆弱性 CVE-2022-24086 (CVSS:9.8) を利用するものであり、その悪用に成功した攻撃者は、任意のコード実行を可能にするという。この攻撃者は、過去 10 日間に Magento ストアで行われた、注文の支払い統計に興味を持っているらしい。
Continue reading “Magento 2 の脆弱性 CVE-2022-24086 が狙い:Xurum いう名のキャンペーンとは?”Retail chain Hot Topic discloses wave of credential-stuffing attacks
2023/08/01 BleepingComputer — 米国のアパレル販売店である Hot Topic は、2023年2月7日〜6月21日にかけて複数のサイバー攻撃を受け、機密情報の漏洩が報じたと顧客に通知している。SimilarWeb のデータによると、Hot Topic は、カウンター・カルチャーの衣料品/アクセサリー/ライセンス音楽などを扱う小売チェーンであり、全米に 675店舗を展開している。
Continue reading “Hot Topic 小売チェーンで情報漏洩:5ヶ月も続いたクレデンシャル・スタッフィング攻撃”WooCommerce Bug Exploited in Targeted WordPress Attacks
2023/07/18 InfoSecurity — 人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告している。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したという。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS:9.8) を悪用するものだ。
Continue reading “WooCommerce の深刻な脆弱性 CVE-2023-28121:侵害の試みが 100万回以上も記録される”E-commerce Fraud Surges By Over 50% Annually
2023/07/11 InfoSecurity — Ravelin によると、世界の大半の eコマース業者は、過去12ヶ月間において詐欺に悩まされた後に、今年に入ってからは詐欺対策のスペシャリストを雇う予定だという。不正対策ベンダーである同社は、年間売上高 $50m の企業に勤務する世界の不正対策専門家 1,900人を対象に、Global Fraud Trends 2023 調査を実施した。その結果として、59% の回答者がオンライン決済詐欺の増加を経験し、51% がアカウント乗っ取りについても、同様の回答をしていることが明らかになった。
Continue reading “E コマース調査:59% の決済詐欺の増加を経験し、51% がアカウント乗っ取りを経験”Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
Continue reading “WordPress Plugin の深刻な脆弱性が FIX:脆弱なオンライン販売サイトが数万件”WordPress Stripe payment plugin bug leaks customer order details
2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になる。
Continue reading “WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX”Patch Tuesday: Critical Flaws in Adobe Commerce Software
2023/06/13 SecurityWeek — Adobe は 6月13日 (火) に、複数の製品の深刻な欠陥に対するパッチを出荷したが、その中には、Adobe Commerce に存在するコード実行の脆弱性も含まれる。Adobe は、スケジュールされた Patch Tuesday の更新の一部として、広く展開されている Adobe Commerce (旧 Magento) 製品に存在する 12件のセキュリティ問題を文書化した。それらの脆弱性の悪用に成功した攻撃者に対して、任意のコード実行/セキュリティ機能のバイパス/任意のファイル・システムの読み取りになどを許す恐れがあると警告している。
Continue reading “Adobe の月例パッチ 2023/06:Adobe Commerce/Magento にコード実行の脆弱性”Massive phishing campaign uses 6,000 sites to impersonate 100 brands
2023/06/13 BleepingComputer — 2022年6月より発生している、大規模な有名ブランドなりすましキャンペーンにより、百社以上の人気アパレル/フットウェア/衣料品などの偽 Web サイトが展開され、騙された被害者たちはアカウント認証情報や金融情報を騙し取られている。偽の Web サイトが展開されるブランドには、Nike/Puma/Asics/Vans/Adidas/Columbia/Superdry Converse/Casio/Timberland/Salomon/Crocs/Sketchers/The North Face/UGG/Guess/Caterpillar/New Balance/Fila/Doc Martens/Reebok/Tommy Hilfiger などが含まれる。
Continue reading “大規模フィッシング・キャンペーンを検出:100の有名ブランドを装う 6,000 の偽サイト”Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data
2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、3月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。
Continue reading “ホンダの機器類を販売する e コマース・サイトに脆弱性:甚大な被害が発生する可能性があった”Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack
2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米/中南米/欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。
Continue reading “Magento/WooCommerce などが標的:商取引サイトを狙う Magecart キャンペーン”Online sellers targeted by new information-stealing malware campaign
2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。
Continue reading “Vidar 情報スティーラーの手口を分析:オンライン販売業者たちを狙う悪質キャンペーンとは?”PrestaShop fixes bug that lets any backend user delete databases
2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込/更新/削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner/Administrator/Sales Representative/Customer Support Agent/Order Processor/Data Entry Staff などとなる。
Continue reading “PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション”Critical WooCommerce Payments Plugin Flaw Patched for 500,000+ WordPress Sites
2023/03/24 TheHackerNews — WordPress のプラグインであり、50万以上の Web サイトにインストールされている WooCommerce Payments に影響を及ぼす、深刻なセキュリティ欠陥に対するパッチがリリースされた。この欠陥を放置すると、脆弱なオンラインショップに対して、脅威アクターによる不正なアクセスが可能になると、2023年3月23日のアドバイザリで同社は発表している。この問題は、バージョン 4.8.0〜5.6.1 に影響を及ぼすという。
Continue reading “WooCommerce 決済プラグインの深刻な脆弱性:WordPress サイト 50万以上に影響を及ぼす?”
IoT OT Security News 
You must be logged in to post a comment.