NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2019.12.13技術トレンド/展望

ECサイトを狙うサイバー犯罪の新主流「Webスキミング」

2019年上半期はECサイトからクレジットカード情報が漏えいする事件が多発した。その代表的なサイバー攻撃手法が「Webスキミング」だ。ECサイトの信頼を脅かす仕組みと対策を解説する。

Webスキミングとは?

Webスキミングとは、ECサイト(Eコマースサイト)上に不正なコードを挿入して、入力された決済情報を窃取する攻撃です。海外では、スポーツ用品メーカーFILA UK社(※1)や雑誌Forbesの購読サイト(※2)、アメリカとカナダの大学が運営する201のECサイト(※3)などが攻撃を受けており、日本でも複数のECサイトがこの攻撃を受けた模様です。

Webスキミングの攻撃手法

セキュリティ企業 RiskIQ社のレポートで解説されているWebスキミングの一手法を説明します(※4)

  1. 1.管理画面等へ総当たり攻撃を行ってID/PWを推測したり、脆弱性スキャンを行って改ざん可能な脆弱性を把握したりする
  2. 2.1.の情報を用いて、不正ログインしたり、Webコンテンツを改ざんしたりして、決済画面などにWebスキミング用の不正なコードを挿入する
  3. 3.ユーザがECサイトで決済情報を入力すると、攻撃者のサーバへ決済情報が送信される
図1:既存のWebスキミング

図1:既存のWebスキミング(RiskIQの情報(※4)を基にNTTDATA-CERTが作成)

また新たに2019年1月に確認された攻撃は、従来のように直接ECサイトを改ざんしてWebスキミング用の不正なコードを挿入する手法ではなく、ソフトウェアサプライチェーンを悪用して改ざんしたJavaScriptライブラリを配布することで、多数のECサイトへ間接的にWebスキミング用の不正なコードを挿入する手法でした(※5)

  1. 1.攻撃者は、広告配信サービスの提供者の環境へ侵入する
  2. 2.攻撃者は、広告配信で使用するJavaScriptライブラリを改ざんし、Webスキミング用の不正なコードを挿入する。改ざんされたJavaScriptライブラリがECサイトへ配信される。同ライブラリを利用しているECサイトへ不正なコードが読み込まれる
  3. 3.ユーザがECサイトで決済した時に、不正なコードにより決済情報がWebスキミングされる
  4. 4.摂取された決済情報が攻撃者のサーバへ送信される
図2:ライブラリを利用したWebスキミング

図2:ライブラリを利用したWebスキミング(トレンドマイクロセキュリティブログより引用(※5)

さらに2019年4月に確認された攻撃は、大学向けのECサイト構築用プラットフォーム上で使用されているJavaScriptライブラリを改ざんすることで、このプラットフォームを利用する多数のECサイトへ間接的にWebスキミング用の不正なコードを挿入する手法でした(※3)

  1. 1.攻撃者は、ECサイト構築用プラットフォームの環境へ侵入する
  2. 2.攻撃者は、プラットフォーム上のJavaScriptライブラリを改ざんし、Webスキミング用の不正なコードを挿入する。プラットフォーム上に構築されたECサイトへ不正なコードが読み込まれる。
  3. 3.ユーザがECサイトで決済した時に、不正なコードにより決済情報がWebスキミングされる
  4. 4.摂取された決済情報が攻撃者のサーバへ送信される
図3:プラットフォームを利用したWebスキミング

図3:プラットフォームを利用したWebスキミング(トレンドマイクロセキュリティブログより引用(※3)

最近では2019年9月に確認された攻撃は、Webサイト構築ベンダーの提供しているモジュールを改ざんすることで、当該ベンダーが構築した複数のホテルチェーンの予約サイトへ間接的にWebスキミング用の不正なコードを挿入する手法でした。この手法はPCからのアクセスでは無害ですがモバイル端末からのアクセスではWebスキミングが行われることが特徴的でした(※6)

  1. 1.攻撃者は、ECサイト構築ベンダーの環境に侵入する
  2. 2.攻撃者は、ECサイト構築に用いられるモジュールを改ざんし、Webスキミング用の不正なコードを挿入する。モジュールを用いて構築されたECサイトへ不正なコードが組み込まれる。
  3. 3.ユーザがECサイトで決済した時に、不正なコードにより決済情報がWebスキミングされる
  4. 4.摂取された決済情報が攻撃者のサーバへ送信される
図4:モジュールを利用したWebスキミング

図4:モジュールを利用したWebスキミング(トレンドマイクロセキュリティブログより引用(※6)

この他にも不適切な設定のAmazon S3を見つけ、バケット上のJavaScriptファイルへ不正なコードを挿入することで、Webスキミングを実現する手法も確認されています(※7)

これら事例のように、攻撃者がECサイト構築用プラットフォームやライブラリ、コンポーネントを攻撃し、ソフトウェアサプライチェーンを利用した攻撃を行った場合、一度に複数のECサイトへ影響が及び、大きな被害につながります。

対策

標的となるECサイト構築用プラットフォームも増加しており、2019年はWebスキミングによる攻撃が活発化し、直接ECサイトを改ざんしてWebスキミング用の不正なコードを挿入する手法とソフトウェアサプライチェーンを利用した間接的な手法の両方で多くのECサイトで決済情報が窃取されています。Webスキミングの被害に遭わないために、ECサイト提供者は、ミドルウェアやプラットフォームを適宜アップデートして脆弱性を解消するとともに、認証の仕組みやセキュリティ設定などの見直しにより、ECサイトを堅牢化することが望ましいです。特に管理画面や不必要なディレクトリ・ファイルへのアクセス制御や、管理者アカウントのパスワードの強化や二要素認証の導入、ログ監視を推奨します。

また、間接的な手法による被害を防ぐためには、信頼できるライブラリやプラグインのみを利用すること、そして少しでも早く改ざんされたライブラリに気づくために、定期的なセキュリティ診断やWeb改ざん検知ソリューションの導入なども一考してください。

※1 P. Paganini, “Payment data of thousands of customers of UK and US online stores could have been compromised,” 14 3 2019. [オンライン]. Available

https://securityaffairs.co/wordpress/82403/cyber-crime/payment-data-security-breach.html

※2 S. Gatlan, “Hackers Inject Magecart Card Skimmer in Forbes’ Subscription Site,” 15 5 2019. [オンライン]. Available

https://www.bleepingcomputer.com/news/security/hackers-inject-magecart-card-skimmer-in-forbes-subscription-site/

※3 TrendMicro, “新しく確認されたサイバー犯罪集団「Mirrorthief」、米国とカナダの201の大学ECサイトにスキミング攻撃,” 31 5 2019. [オンライン]. Available

https://blog.trendmicro.co.jp/archives/21422

※4 RiskIQ, Inc, “Inside Magecart,” 13 11 2018. [オンライン]. Available

https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf

※5 Trend Micro Incorporated., “サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入,” 18 1 2019. [オンライン]. Available

https://blog.trendmicro.co.jp/archives/20150

※6 “Magecart Skimming Attack Targets Mobile Users of Hotel Chain Booking Websites,” Trend Micro Incorporated., 18 9 2019. [オンライン]. Available

https://blog.trendmicro.com/trendlabs-security-intelligence/magecart-skimming-attack-targets-mobile-users-of-hotel-chain-booking-websites/

※7 “RISKIQ, “Spray and Pray:Magecart Campaign Breaches Websites En Masse Via Misconfigured Amazon S3 Buckets,” 10 7 2019. [オンライン]. Available

https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/

お問い合わせ