Magecart攻撃とは？ ⚔️ 防ぐ方法

Magecartマルウェアとは？ その概要と仕組み

ハッキングの歴史を少し調べれば、ハッカーは組織に独創的な名前を付ける習性があることに気づくでしょう。Magecartは、そうしたハッカー集団の一つで、主にオンラインショッピングカート、特にMagentoプラットフォームを狙っています。Magentoは彼らの最初の標的であり、組織名の由来にもなりました。

オンラインショッピングカートは顧客の支払い情報を保存するため、狙い目となります。もしマルウェアがこの情報にアクセスできれば、既成のカード情報収集ツールとして利用される恐れがあります。ほとんどのECサイトで利用されるサードパーティのコンポーネントは十分な検証が行われていないため、この仕組みが事前に用意された攻撃手法となってしまいます。

Magecartハッカー集団は2016年から悪意ある行為を繰り返していると報告されています。RiskIQの調査チームは、2018年のMagecartインシデント調査で、スキマー・マルウェアによる侵入通知が1時間ごとに送られているケースを確認しました。雑誌Wiredは、Magecartを「2018年の最も危険なハッカー」として紹介しています。

実際のMagecart攻撃

Magecartのブラックハットは、JavaScriptペイロードを配信し難読化する手法で攻撃を行います。彼らはターゲットのソフトのソースコードを改変したり、マルウェアを仕込んだりします。調査チームによって多くのRCE（リモートコード実行）脆弱性が報告されました。廃棄されたオンラインリポジトリ（例: GitLab）にコードをアップロードするのは、悪意あるペイロードを届ける巧妙な手法です。その結果、様々なウェブアプリに悪意あるペイロードが仕込まれる恐れがあります。MyPillowのウェブアプリへの攻撃では、Magecart集団が積極的に行動を起こす意志を示しました。セキュリティ研究の報告によれば、MyPillowが迅速に初期のマルウェアを検出・除去したものの、Magecartはウェブサイトへのアクセスに成功したとのことです。

Magecartの攻撃手順

Magecartの攻撃はデータスキミングと呼ばれ、成功するためには以下の条件を満たさなければなりません:

1. ステップ1: 不正アクセス者は貴社のウェブサイトに侵入する必要があります。ハッカーはウェブサイトにアクセスし、スキミングコードを実行するために二通りの方法を取ります。場合によってはターゲットのネットワークそのものに侵入することもあります。時にはサードパーティの業者が介入した後に切り離され、その結果目的地への到達が容易になることもあります。なお、ウェブタグが悪意あるスクリプトへリンクしている場合もあるため、ブラウザが必要となります。
2. ステップ2: フォームから個人情報を抜き取ることです。データを取得する手法は多様ですが、スキミングに用いられるコードは、個人情報を監視し収集するJavaScriptを含んでいます。不正アクセス者は敏感なページでのキーストロークを記録したり、クレジットカードのCVVなど特定のフォーム領域からデータを抜き取ったりします。発覚を避けるため、悪意あるペイロードはしばしば他のコードに隠されます。
3. ステップ3: 最後の、かつ最も単純な手順は、収集したデータをハッカー集団が所有する公共インフラへ送信することです。一度ウェブアプリに侵入されると、ハッカーはスクレイピングなどにより情報を次々と収集し、ブラウザからデータが送信されるとその情報はインターネットを通じてどこへでも飛んでいきます。

Magecartの歴史

最初のMagecartの活動が公式に報告されたのは2015年ですが、実際には2012年から活動しているとされます。

多くのオンライン小売業者がネットショップ用のプラットフォーム「Magento」を利用しているため、大きな攻撃の要因となっています。2015年にブラックハットによる攻撃が広く報告され、この時にMagecartという名称が定着しました。調査機関は、3000以上のMagentoサイトが侵害されたと報告しています。

その後、被害店舗数は急増し、2022年にはデジタルスキマーが仕込まれた70,000店以上が確認されました。サプライチェーン攻撃の被害を含めれば、100,000以上の店舗が影響を受けたとされています。

サイバー犯罪者は、Magento以外のオープンソースECプラットフォームも標的にし、ウェブスキミングを実施しています。人気サイトについては毎月、侵害状況を監視しています。

Magecart攻撃の防止方法

リソースに限りがあるウェブサイト運営者であっても、ハッカーが巧妙な手口でスキマーを植え隠すことができるからといって、諦める必要はありません。無料のウェブサイトスキャナーが、Magecartのようなプログラムによる不審な接続を特定する手助けをし、ブラウザの開発者ツールでその内容を確認することが可能です。

Trustwaveのガイドでは、こうした調査の進め方やMagecart感染の検出・除去に役立つツールが詳しく紹介されています。

まず、すべての外部ECサイトやネット広告プロバイダーのリストアップを検討し、彼らにコードの監査や自己評価を実施させることが推奨されます。

また、サブリソース整合性を実装することで、無断で更新されたスクリプトが読み込まれるのを防ぐことができます。これらのスクリプトを見つけ出すためには、DevOps担当者の訓練と徹底したコードレビューが必要です。

さらに、供給業者のサーバーではなく、可能な限り第三者のスクリプトを自社内でホストすることが望ましいです。今日のECサイトは多数の第三者ソースを利用しているため、実行は容易ではありませんが、検討する価値があります。

エンドポイントセキュリティの提供者に、Magecartなどの第三者関連の攻撃を防げるかどうか確認することも有効です。

また、サイバー保険がこの種の侵害をカバーしているかどうかも確認してください。

Magecart攻撃を防ぐために、小売業者にできること

Magecartやその他の顧客標的攻撃のリスクを低減するため、以下の対策を検討してください。

• ウェブアプリ上のすべてのサードパーティのJSペイロードコードのリストを作成し、把握する。
• 外部供給者にコード監査を依頼し、そのコードが自社製であり、ウイルスや危険な命令が含まれていないことを確認する。
• 可能な限りサードパーティ製のソリューションではなく、ファーストパーティのものに切り替える。また、自社サーバー上でプログラムを実行できるよう努める。今日の店舗は外部供給者に大きく依存している点に留意する必要があります。
• HTTPのContent-Security-Policyヘッダーを実装し、コード注入攻撃やクロスサイトスクリプティング（XSS）、クリックジャッキングに対する防御層を追加する。

現在、クライアントサイドの防御に特化したプログラムも存在し、Magecart攻撃の防止を支援しています。

利用者が自らを守るためにできること

オンライン購入の際、利用者はECサイトへの信頼を寄せます。EC事業者が自社サイトを守る責任を持つ一方で、各利用者も自衛のための対策を取ることが可能です。以下の対策を検討してください。

• 信頼できないサイトに個人情報を入力しない。
• privacy.comなどのサービスを利用して使い捨てクレジットカードを作成する。
• ドメインURLを確認し、攻撃者が作成した偽のドメインでないかチェックする。
• ブラウザのアドオンを使用し、不審なソースからJavaScriptが読み込まれるのを防ぐ。これにより攻撃面が低減されますが、既に信頼できるサイトに組み込まれている悪意あるコードまでは防げない場合があります。