Retail – IoT OT Security News

大規模な Magecart スキミング・キャンペーンを検出：オンライン決済時にクレジットカード情報を窃取

New Magecart Campaign Steals Credit Card Details During Online Checkouts

2026/01/14 gbhackers — 遅くとも 2022年1月から、e コマース Web サイトからクレジットカード情報を積極的に窃取する、大規模かつ高度な Web・スキミング・キャンペーンが展開されている。このキャンペーンは Magecart 攻撃の一種であり、American Express／Diners Club／Discover／Mastercard／JCB／UnionPay など、複数の主要決済ネットワークを標的としており、オンライン・ショッピング利用者および e コマース・プラットフォームの双方を深刻なリスクにさらしている。この活動は Silent Push Preemptive Cyber Defense のサイバーセキュリティ研究者により特定されたものであり、オンライン・コマースを標的とした高度に組織化され、技術的成熟度の高い脅威と言える。

Ghost-Tapping 攻撃：Apple Pay／Google Pay ユーザーから決済カード情報を盗み出す

New Ghost-Tapping Attacks Target Apple Pay and Google Pay Users’ Linked Cards

2025/08/18 gbhackers — NFC (Near Field Communication) リレーを Ghost-Tapping 技術で悪用する中国語圏のサイバー犯罪者たちは、決済カード詐欺を巧妙に進化させている。彼らの主要な標的は、Apple Pay や Google Pay などのモバイル決済サービスに集中している。この攻撃ベクターは、侵害したデバイスから盗み出した決済カードの認証情報を、使い捨て携帯電話に中継して、不正な非接触型の取引を仕掛け、小売詐欺を働くというものである。

Magento エクステンションを狙うサプライチェーン攻撃：６年前から Tigren／Meetanshi／MGS が標的化？

Magento supply chain attack compromises hundreds of e-stores

2025/05/02 BleepingComputer — Magento エクステンション 21種類を狙うサプライチェーン攻撃により、500～1,000 件の eコマース・ストアが侵害を受けており、その中には、$40 billion 規模の多国籍企業のものも含まれている。この攻撃を発見した Sansec の研究者によると、2019年から一部のエクステンションにはバックドアが仕掛けられていたが、悪意のあるコードが有効化されたのは、2025年4月になってからだという。

WooCommerce 管理者を標的とする偽のセキュリティ警告：フェイク・パッチへの誘導に要注意

WooCommerce Users Targeted by Fake Security Vulnerability Alerts

2025/04/25 gbhackers — WooCommerce ユーザーを標的とする、大規模なフィッシング・キャンペーンの存在を、Patchstack セキュリティ・チームが発見した。このキャンペーンは、きわめて洗練されたメールと Web ベースのフィッシング・テンプレートを用いて、Web サイト所有者を欺いていく。

PyPI から 39,000+ DL の悪意の Python パッケージ：クレカの有効性を自動的に検証

Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data

2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。

WordPress HUSKY (WOOF) の脆弱性 CVE-2025-1661 が FIX：任意の PHP コードの挿入と実行

Critical Flaw Exposes 100,000+ WooCommerce Sites: Unauthenticated File Inclusion Threatens Total Takeover

2025/03/11 SecurityOnline — 人気の WordPress プラグイン HUSKY (旧 WOOF：WooCommerce Products Filter Professional）に重大な脆弱性が発見され、10 万以上のオンライン・ストアが完全に侵害される危険にさらされている。この脆弱性 CVE-2025-1661 (CVSS：9.8) の悪用に成功した未認証の攻撃者は、影響を受けるサーバ上で任意のファイルを操作し、データ侵害／サイト改竄に加えて、システムを完全に制御する可能性を得る。

WordPress のデータベースに侵入：新手のクレジットカード・スキマーが発覚

Credit Card Skimmer campaign targets WordPress via database injection

2025/01/13 SecurityAffairs — WordPress の CMS データベース・テーブルに、悪意の JavaScript を挿入して電子商取引サイトを狙う、ステルス型のクレジットカード・スキマー・キャンペーンについて、Sucuri の研究者たちが警告している。この攻撃者は、悪意のコードを WordPress の wp_options テーブルに隠し、widget_block に難読化された JavaScript を挿入してファイル・スキャンを回避し、持続性を維持しているという。

Magento Checkout Pages が標的：動的なクレジットカード・スキマーとは？

Credit Card Skimmer Malware Uncovered: Targeting Magento Checkout Pages

2024/11/28 SecurityOnline — 大手 e コマース・プラットフォームでMagento が、いつものように、巧妙なサイバー犯罪者の攻撃の標的になっている。先日に、Sucuri のセキュリティ・アナリスト Puja Srivastava が報告したのは、Magento で稼働している Web サイトを侵害する、悪意の JavaScript インジェクションに関する情報である。この新しいマルウェアは、チェックアウトページをターゲットにして、支払いに関する情報機密のを、密かに盗み出しているという。

EC プラットフォーム Vendure の脆弱性 CVE-2024-48914 が FIX：PoC も提供

CVE-2024-48914 (CVSS 9.1): Critical File Read Flaw Discovered in Vendure E-commerce Platform

2024/10/18 SecurityOnline — 人気の OSS ヘッドレスＥコマースのプラットフォーム Vendure に、深刻なセキュリティ脆弱性 CVE-2024-48914 (CVSS：9.1) が発見された。この脆弱性の悪用に成功した攻撃者は、サーバからの任意のファイル読み取りを達成し、コンフィグ・ファイルや環境変数などの機密情報を漏洩させる可能性を手にする。

Adobe Commerce／Magento の脆弱性 CosmicSting による被害：オンラインストアの５％が侵害

Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug

2024/10/02 SecurityAffairs — Adobe Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS：9.8) を悪用する複数の脅威アクターが、この３ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。

Slim CD から 170万人分のクレカ情報が流出：決済ゲートウェイが遭遇した侵害とは？

Payment gateway data breach affects 1.7 million credit card owners

2024/09/09 BleepingComputer — 決済ゲートウェイ・プロバイダーである Slim CD は、約 170万人分のクレジットカード情報と個人データが奪われるという、データ侵害について明らかにした。同社は、影響を受けた顧客に送付した通知の中で、2023年8月〜2024年6月の１年近くにわたってハッカーがネットワークにアクセスしていたと述べている。Slim CD は、決済処理ソリューションのプロバイダーであり、Web／モバイル／デスクトップのアプリを介して、ユーザー企業に対して電子決済やカード決済を提供している。

Booking.com を狙うフィッシング：ホテルのアカウント侵害から個人アカウントの侵害へ

Travelers Targeted: Booking.com Phishing Scam Unveiled

2024/09/03 SecurityOnline — オンライン旅行予約プラットフォームの Booking.com を標的とする、巧妙なフィッシング・キャンペーンについて詳述されたレポートが、OSINTMATTER から公開された。この攻撃は、ホテル支配人のアカウントの侵害から始まり、Booking.com のアプリを通じてホテルの顧客をダイレクトに騙すという、多段階のアプローチで構成されている。

Magento コマース・サイトへのスキマー注入：データ入力の瞬間にデータを傍受する手口とは？

Cyberattack on Magento: Hackers Inject Skimmer, Card Data Stolen

2024/08/25 SecurityOnline — 最近のことだが、Magento プラットフォームを利用する、多数のオンライン・ストアに対するサイバー攻撃が発生している。この攻撃では、サイトにスキマーが挿入され、カード番号／有効期限／CVV/CVC コードといった、顧客の支払いカード・データが盗まれている。それを受けて、Malwarebytes の専門家たちが、ハッカーによる情報窃取の方法について詳述している。

PrestaShop サイトを狙う GTAG Websocket スキマー：精算のプロセス中に顧客情報を窃取

PrestaShop Websites Under Attack: GTAG Websocket Skimmer Steals Cre

2024/08/19 securityonline — ｅコマース Top-10 に入る PrestaShop だが、その脆弱性を悪用する新たなクレジットカード・スキマーが、Sucuri のセキュリティ研究者たちにより発見された。この巧妙な攻撃は、WebSocket 接続を使用するものであり、精算のプロセス中に顧客の機密情報を盗み取るというものだ。その、GTAG Websocket Skimmer と名付けられ新たなマルウェアは、PrestaShop のコア・ファイルに悪意のコードを注入することで、従来のセキュリティ・ツールにより検知を回避し、ユーザーが購入を完了する際に、リアルタイムでクレジットカード情報を取得する。

Adobe Commerce／Magento Open Source 向けの複数の脆弱性が FIX

Adobe Issues Critical Security Updates for Commerce and Magento Platforms

2024/08/14 SecurityOnline — 人気 eコマース・プラットフォームである Adobe Commerce と Magento Open Source 向けの、重要なセキュリティ・アップデートがリリースされた。このアップデートには、さまざまな脆弱性の修正が取り込まれているが、その中には、悪意のコード実行／機密ファイルの窃取／セキュリティ機能の回避などに加えて、システムの完全な制御の乗っ取りを、攻撃者に対して許すものもあり得るという。

新たな E-commerce Skimming 戦術：Megento サイトで発見されたスワップ・ファイルの悪用とは？

Cybercriminals Exploit Swap Files: New E-commerce Skimming Tactic

2024/07/20 SecurityOnline — Sucuri のセキュリティ・アナリストたちが発見したのは、スワップ・ファイルを悪用するサイバー犯罪者がクレジット・カード・スキマーを永続的に維持し、電子商取引サイトを標的とする新たな攻撃手法である。この形態のインシデントは Magentoサイトで発生し、チェックアウト・ページに埋め込まれた悪意のスクリプトにより、機密性の高い顧客データが不正に取得される。

WooCommerce HUSKY Plugin の脆弱性 CVE-2024-6457 (CVSS 9.8) が FIX：ただちにアップデートを！

CVE-2024-6457 (CVSS 9.8): Critical Flaw in HUSKY Plugin Threatens 100K+ WooCommerce Stores

2024/07/16 SecurityOnline — 広く使用されている WordPress プラグイン HUSKY – Products Filter Professional for WooCommerce に重大なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-6457 の CVSS スコアは 9.8 (Critical) であり、10万以上の WooCommerce オンラインストアに対する、不正なデータ侵害が生じる恐れがある。

脆弱性 CosmicSting CVE-2024-34102：１時間に 3～5件のペースで侵害される Magento ストア

Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands

2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名：CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、１時間あたり 3～5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。

Neiman Marcus のデータ侵害：Snowflakeアカウントのハッキングで個人情報が漏えい

Neiman Marcus confirms data breach after Snowflake account hack

2024/06/25 BleepingComputer — 高級小売店の Neiman Marcus は、最近の Snowflake データ盗難攻撃の被害に遭遇し、同社から盗み出されたデータベースの売却を、ハッカーが試みていたことを明らかにした。同社がメイン州の司法長官事務所に提出したデータ流出通知によると、この流出により影響を受けた人々は 64,472人に及ぶという。この通知の中で Neiman Marcus は、「2024年4月〜 5月に、Neiman Marcus グループが使用しているデータベース・プラットフォームに、脅威アクターが不正アクセスしていたことが、５月に入ってから判明した。さらに、当社の調査により、データベース・プラットフォーム上の個人情報が、この脅威アクターにより盗み出されていたことが判った」と述べている。

PrestaShop モジュール pkfacebook の脆弱性 CVE-2024-36680：クレカ情報の窃取で悪用

Facebook PrestaShop module exploited to steal credit cards

2024/06/23 BleepingComputer — PrestaShop 用のプレミアム Facebook モジュールである、pkfacebook の脆弱性を悪用するハッカーが、脆弱なｅコマースサイトにカード・スキマーを展開し、ユーザーの決済用クレジットカード情報を盗んでいることが判明した。PrestaShop は、オンライン・ストアの作成／管理のための、オープンソースのｅコマース・プラットフォームである。2024年現在において、個人や企業を問わず、世界中で約 300,000 件のオンライン・ストアに利用されている。

WooCommerce プラグインの脆弱性 CVE-2024-6027 が FIX：30,000 以上のサイトが危険な状態

Over 30,000 WooCommerce Sites Exposed by Critical Plugin Flaw (CVE-2024-6027)

2024/06/21 SecurityOnline — WordPress の人気プラグイン “WooCommerce Product Filter” の脆弱性により、30,000 以上のオンラインストアが深刻なデータ漏えいの危機にさらされている。脆弱性 CVE-2024-6027 (CVSS：9.8) の悪用に成功した攻撃者は、ストアのデータベースから顧客名／住所／クレジットカードなどの機密情報を窃取する可能性を手にする。

PrestaShop Facebook モジュールの脆弱性 CVE-2024-36680：SQLi 攻撃が発生

PrestaShop Sites Under Attack via Facebook Module Vulnerability (CVE-2024-36680)

2024/06/20 SecurityOnline — Promokit.eu が提供する、人気モジュール PrestaShop Facebook (pkfacebook) に存在する脆弱性が、サイバー犯罪者たちにより活発に悪用されていることが判明した。この脆弱性 CVE-2024-36680 (CVSS：9.8) の悪用に成功した権限のないユーザーが、悪意の SQL コードを Web サイトのデータベースに注入することで、eコマース・プラットフォームの完全な乗っ取りにいたる可能性があるという。

Adobe の Patch Tuesday 6月：167件のセキュリティ脆弱性が修正された

Adobe Patches Critical Flaws in Multiple Products, Urging Users to Update

2024/06/12 SecurityOnline — Adobe のソフトウェア製品群に存在する、脆弱性に対処するためのセキュリティ更新プログラムがリリースされた。これらの脆弱性が悪用されると、コード実行／不正アクセス／情報漏洩などにつながる可能性があるため、ユーザーに対して強く推奨されるのは、Adobe のソフトウェアの速やかなアップデートである。

WordPress WooCommerce Plugin に３つの脆弱性：公式パッチは未適用

Security Flaws Found in Popular WooCommerce Plugin

2024/06/07 InfoSecurity — WordPress のプラグイン WooCommerce Amazon Affiliates (WZone) に、３つの脆弱性が存在することが、Patchstack により明らかにされた。Amazon アフィリエイト・プログラム経由で、Web サイト運営者やブロガーの収益化を支援するように、WooCommerce Amazon Affiliates は設計されている。AA-Team により開発された、この WordPress プラグインは、35,000 以上の販売実績を有している。先日に発見された脆弱性は、バージョン 14.0.10 を含む、すべてのテスト済みバージョンに影響を与えるものであり、バージョン 14.0.20 以降にも影響を与える可能性があるという。

XStore の Eコマース・テーマの深刻な脆弱性が FIX：WordPress／WooCommerce が危険な状態に

Critical Security Flaws Uncovered in Popular WordPress eCommerce Theme XStore

2024/05/17 SecurityOnline — WordPress プラットフォーム上におけるオンライン・ストア構築のためのツールとして、広く利用されている XStore テーマと、それに付随する XStore Core プラグインに、一連の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、Web サイトの乗っ取り／データ侵害／悪意のコード注入などの、さまざまな悪意のアクションを引き起こす可能性を持つ。

PrestaShop の脆弱性 CVE-2024-34716／34717 が FIX：ただちにパッチを！

CVE-2024-34716: Critical Security Vulnerability Uncovered in PrestaShop

2024/05/16 SecurityOnline — 2007 年以降において、PrestaShop プロジェクトは、全世界で 30 万以上の Web ストアをサポートしている、オープンソースの主要な E コマース・プラットフォームである。PrestaShop は、カスタマイズ性／主要決済サービスのサポート／多言語およびローカライズされたオプション／完全なレスポンシブ・デザインで有名である。その PrestaShop が、先日に発表したのは、２つの深刻な脆弱性に対するセキュリティ・アドバイザリである。

Magento の脆弱性 CVE-2024-20720：Magecart 攻撃が観測されている

Magecart Attackers Pioneer Persistent E-Commerce Backdoor

2024/04/06 DarkReading — Magecart 攻撃者たちが、新しい手口を確立しようとしている。それは、自動的にマルウェアをプッシュできる永続的なバックドアを、電子商取引 Web サイト内に隠し持つ戦術である。Sansec の研究者たちによると、その脅威アクターが悪用するのは、Adobe Magento eコマース・プラットフォームに存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2024-20720 (CVSS：9.1) であるという。

Shopware に深刻な脆弱性 CVE-2024-27917：直ちにアップデートを！

CVE-2024-27917: Critical Vulnerability in Popular E-Commerce Platform Shopware 6

2024/03/06 SecurityOnline — オープンソースのｅコマース・プラットフォームとして広く利用されている、Shopware 6 に深刻な脆弱性 CVE-2024-27917 が発見された。この脆弱性は、オンラインストアを著しく混乱させ、顧客のショッピング環境に影響をおよぼす可能性がある。

DDoS 2023 調査：UDP フラッド攻撃が急増 – Qrator Labs

DDoS Evolves: 2023 Trends Reveal Attackers Shift Tactics, Target E-commerce

2024/02/18 SecurityOnline — 分散型サービス拒否 (DDoS) 攻撃の世界において、2023年は著しく変革する年となった。Qrator Labs の力作であるレポートでは、商業ツールとしての DDoS の戦略的武器化や、電子商取引プラットフォームを狙った攻撃の執拗な増加、そして、適応的な防御戦略を必要とする複雑化する脅威の状況などの、いくつかの憂慮すべき動向が明らかにされている。

Shopware の深刻な脆弱性 CVE-2024-22406 が FIX：SQLi の可能性

Ecommerce Alert: Shopware Hit by Critical-Risk CVE-2024-22406 Flaw

2024/01/17 SecurityOnline — あらゆる規模の企業に対して、オンライン・ストア作成／管理の機能を提供する、オープンソースの e コマース・プラットフォーム Shopware に、深刻な脆弱性 CVE-2024-22406 (CVSS：9.3) が発見された。この人気のオープンソース・プラットフォームに依存している企業は、重大な脅威にさらされる可能性がある。

Magecart キャンペーンの現状：不正な WordPress プラグインでカード情報を窃取

Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft

2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、ｅコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。

オンライン・ストアの 404 Not Found ページを改ざん：進化する Magecart アクターの戦術とは？

Hackers modify online stores’ 404 pages to steal credit cards

2023/10/09 BleepingComputer — Magecart における新たなカード・スキミング・キャンペーンは、オンライン小売業者の Web サイトの 404 エラー・ページを乗っ取り、そこに悪質なコードを隠し持ち、顧客のクレジット・カード情報を盗み出すというものだ。この手口は、Akamai Security Intelligence Group の研究者が観測した、３つの亜種のうちの１つに、この手口がある。他の、２つの手口は、HTML イメージ・タグの “onerror” 属性、イメージ・バイナリにコードを隠し持ち、Meta Pixel のコード・スニペットとして表示させるものだ。Akamai によると、このキャンペーンは Magento と WooCommerce のサイトに焦点を当てたものであり、被害者の中には、食品や小売の有名企業に関連する人々もいるという。

オンライン詐欺の動向：偽 Eショップ／性的脅迫／偽技術サポートが急増 – Norton 調査

Scams Now Make Up 75% of Cyber-Threats

2023/09/21 InfoSecurity — Norton の最新データによると、2023年上半期において、デスクトップを標的とする脅威の 75％を、人為的な操作を伴う詐欺が占めているという。コンシューマ向けのセキュリティ・ベンダーである Norton は、Consumer Cyber Safety Pulse レポートを作成するために、トラッキング／ブロックにおける独自のデータを分析した。その結果として、2023年上半期に 15億件以上の脅威をブロックしたが、そこに含まれるものとして、800万件のフィッシング試行および、350万件のデスクトップ脅威、約 33,000件のモバイル脅威があると主張している。

ボット攻撃による利益損失は平均で $86m：2020年の $33.3m から急増

Bot Attack Costs Double to $86m Annually

2023/09/21 InfoSecurity — Netacea の最新レポートによると、悪質なボット攻撃が原因となり、一般的な米国／英国の企業は、毎年オンライン収益の 4％以上を失っているという。Netacea の Death by a Billion Bots レポートは、米国と英国におけるツアー／エンターテインメント／eコマース／金融サービス／電気通信の各分野において、440社を対象とした調査から作成された。なお、それらの企業におけるオンライン収益は、平均で $1.9bn にいたるという。

Chaes という新種の Python マルウェア亜種：銀行と物流業界を標的にしている

New Python Variant of Chaes Malware Targets Banking and Logistics Industries

2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。

Magento 2 の脆弱性 CVE-2022-24086 が狙い：Xurum いう名のキャンペーンとは？

Ongoing Xurum Attacks on E-commerce Sites Exploiting Critical Magento 2 Vulnerability

2023/08/14 TheHackerNews — Adobe の Magento 2 ソフトウェアを使用する E コマース・サイトが、遅くとも 2023年1月以降に発生しているキャンペーンで、継続的に標的とされている。この、Akamai により Xurum と名付けられた攻撃は、Adobe Commerce および Magento Open Source の、すでにパッチ適用されている深刻な脆弱性 CVE-2022-24086 (CVSS：9.8) を利用するものであり、その悪用に成功した攻撃者は、任意のコード実行を可能にするという。この攻撃者は、過去 10 日間に Magento ストアで行われた、注文の支払い統計に興味を持っているらしい。

Hot Topic 小売チェーンで情報漏洩：５ヶ月も続いたクレデンシャル・スタッフィング攻撃

Retail chain Hot Topic discloses wave of credential-stuffing attacks

2023/08/01 BleepingComputer — 米国のアパレル販売店である Hot Topic は、2023年2月7日〜6月21日にかけて複数のサイバー攻撃を受け、機密情報の漏洩が報じたと顧客に通知している。SimilarWeb のデータによると、Hot Topic は、カウンター・カルチャーの衣料品／アクセサリー／ライセンス音楽などを扱う小売チェーンであり、全米に 675店舗を展開している。

WooCommerce の深刻な脆弱性 CVE-2023-28121：侵害の試みが 100万回以上も記録される

WooCommerce Bug Exploited in Targeted WordPress Attacks

2023/07/18 InfoSecurity — 人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告している。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したという。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS：9.8) を悪用するものだ。

E コマース調査：59％の決済詐欺の増加を経験し、51％がアカウント乗っ取りを経験

E-commerce Fraud Surges By Over 50% Annually

2023/07/11 InfoSecurity — Ravelin によると、世界の大半の eコマース業者は、過去12ヶ月間において詐欺に悩まされた後に、今年に入ってからは詐欺対策のスペシャリストを雇う予定だという。不正対策ベンダーである同社は、年間売上高 $50m の企業に勤務する世界の不正対策専門家 1,900人を対象に、Global Fraud Trends 2023 調査を実施した。その結果として、59％の回答者がオンライン決済詐欺の増加を経験し、51％がアカウント乗っ取りについても、同様の回答をしていることが明らかになった。

WordPress Plugin の深刻な脆弱性が FIX：脆弱なオンライン販売サイトが数万件

Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites

2023/06/21 SecurityWeek — WordPress の２つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。１つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS：9.8) であり、すでに３万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。

WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX

WordPress Stripe payment plugin bug leaks customer order details

2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のＥコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa／MasterCard／American Express／Apple Pay／Google Pay などによる決済が可能になる。

Adobe の月例パッチ 2023/06：Adobe Commerce／Magento にコード実行の脆弱性

Patch Tuesday: Critical Flaws in Adobe Commerce Software

2023/06/13 SecurityWeek — Adobe は 6月13日 (火) に、複数の製品の深刻な欠陥に対するパッチを出荷したが、その中には、Adobe Commerce に存在するコード実行の脆弱性も含まれる。Adobe は、スケジュールされた Patch Tuesday の更新の一部として、広く展開されている Adobe Commerce (旧 Magento) 製品に存在する 12件のセキュリティ問題を文書化した。それらの脆弱性の悪用に成功した攻撃者に対して、任意のコード実行／セキュリティ機能のバイパス／任意のファイル・システムの読み取りになどを許す恐れがあると警告している。

大規模フィッシング・キャンペーンを検出：100の有名ブランドを装う 6,000 の偽サイト

Massive phishing campaign uses 6,000 sites to impersonate 100 brands

2023/06/13 BleepingComputer — 2022年6月より発生している、大規模な有名ブランドなりすましキャンペーンにより、百社以上の人気アパレル／フットウェア／衣料品などの偽 Web サイトが展開され、騙された被害者たちはアカウント認証情報や金融情報を騙し取られている。偽の Web サイトが展開されるブランドには、Nike／Puma／Asics／Vans／Adidas／Columbia／Superdry Converse／Casio／Timberland／Salomon／Crocs／Sketchers／The North Face／UGG／Guess／Caterpillar／New Balance／Fila／Doc Martens／Reebok／Tommy Hilfiger などが含まれる。

Magento／WooCommerce などが標的：商取引サイトを狙う Magecart キャンペーン

Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack

2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米／中南米／欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。

Vidar 情報スティーラーの手口を分析：オンライン販売業者たちを狙う悪質キャンペーンとは？

Online sellers targeted by new information-stealing malware campaign

2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。

PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX：ロール権限を破壊する SQL インジェクション

PrestaShop fixes bug that lets any backend user delete databases

2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込／更新／削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner／Administrator／Sales Representative／Customer Support Agent／Order Processor／Data Entry Staff などとなる。

WooCommerce 決済プラグインの深刻な脆弱性：WordPress サイト 50万以上に影響を及ぼす？

Critical WooCommerce Payments Plugin Flaw Patched for 500,000+ WordPress Sites

2023/03/24 TheHackerNews — WordPress のプラグインであり、50万以上の Web サイトにインストールされている WooCommerce Payments に影響を及ぼす、深刻なセキュリティ欠陥に対するパッチがリリースされた。この欠陥を放置すると、脆弱なオンラインショップに対して、脅威アクターによる不正なアクセスが可能になると、2023年3月23日のアドバイザリで同社は発表している。この問題は、バージョン 4.8.0〜5.6.1 に影響を及ぼすという。

WordPress 上の eコマース侵害：決済の瞬間を狙ってクレカ情報を盗み出す手口とは？

Hackers inject credit card stealers into payment processing modules

2023/03/22 BleepingComputer — クレジットカードを盗み出す新たなハッキング・キャンペーンは、これまでに見られたものとは異なり、悪意のコードを WooCommcerce の “Authorize.net” 決済ゲートウェイ・モジュール内に隠すことで、セキュリティ・スキャンによる検出の回避を可能にしているようだ。これまでの脅威アクターたちが、Magenta および WooCommerce + WordPress のようなコマース・サイトを侵害する場合には、店舗や顧客のチェックアウト・ページ HTML に、悪意の JavaScript を注入するのが一般的だった。

オンラインショップのバックアップが狙われる：店舗の 12% で機密情報が漏洩しやすい状況

Attackers are searching for online store backups in public folders. Can they find yours?

2023/02/07 HelpNetSecurity — 数多くのオンライン・ショップの管理者たちは、プライベートなバックアップをパブリック・フォルダに保存している。それは、データベース・パスワード／秘密 API キー／管理者 URL／顧客データなどを、見知らぬ攻撃者に暴露していることに他ならない。Sansec の脅威研究者たちは、「公開された秘密データは、店舗の支配権強奪／販売者の強奪／顧客支払いの傍受などに使用されている」と述べている。

GuLoader の標的は e-Commerce 業界：NSIS ファイルでマルウェアをドロップ

GuLoader Malware Using Malicious NSIS Executables to Target E-Commerce Industry

2023/02/06 TheHackerNews — 先月末に、韓国と米国の e-Commerce 業界が、現在進行中の GuLoader マルウェア・キャンペーンの被害を受けていたことを、サイバーセキュリティ企業の Trellix が明らかにした。このマルスパム活動の特徴は、その侵入の手口を、マルウェアを混入した Microsoft Word 文書から、マルウェアをロードするための NSIS 実行ファイルへと移行している点だ。このキャンペーンでは、ドイツ／サウジアラビア／台湾／日本などの国々も対象となっている。