Webスキミングとは?
Webスキミングの攻撃手法
セキュリティ企業 RiskIQ社のレポートで解説されているWebスキミングの一手法を説明します(※4)。
- 1.管理画面等へ総当たり攻撃を行ってID/PWを推測したり、脆弱性スキャンを行って改ざん可能な脆弱性を把握したりする
- 2.1.の情報を用いて、不正ログインしたり、Webコンテンツを改ざんしたりして、決済画面などにWebスキミング用の不正なコードを挿入する
- 3.ユーザがECサイトで決済情報を入力すると、攻撃者のサーバへ決済情報が送信される
図1:既存のWebスキミング(RiskIQの情報(※4)を基にNTTDATA-CERTが作成)
また新たに2019年1月に確認された攻撃は、従来のように直接ECサイトを改ざんしてWebスキミング用の不正なコードを挿入する手法ではなく、ソフトウェアサプライチェーンを悪用して改ざんしたJavaScriptライブラリを配布することで、多数のECサイトへ間接的にWebスキミング用の不正なコードを挿入する手法でした(※5)。
- 1.攻撃者は、広告配信サービスの提供者の環境へ侵入する
- 2.攻撃者は、広告配信で使用するJavaScriptライブラリを改ざんし、Webスキミング用の不正なコードを挿入する。改ざんされたJavaScriptライブラリがECサイトへ配信される。同ライブラリを利用しているECサイトへ不正なコードが読み込まれる
- 3.ユーザがECサイトで決済した時に、不正なコードにより決済情報がWebスキミングされる
- 4.摂取された決済情報が攻撃者のサーバへ送信される
図2:ライブラリを利用したWebスキミング(トレンドマイクロセキュリティブログより引用(※5))
さらに2019年4月に確認された攻撃は、大学向けのECサイト構築用プラットフォーム上で使用されているJavaScriptライブラリを改ざんすることで、このプラットフォームを利用する多数のECサイトへ間接的にWebスキミング用の不正なコードを挿入する手法でした(※3)。
- 1.攻撃者は、ECサイト構築用プラットフォームの環境へ侵入する
- 2.攻撃者は、プラットフォーム上のJavaScriptライブラリを改ざんし、Webスキミング用の不正なコードを挿入する。プラットフォーム上に構築されたECサイトへ不正なコードが読み込まれる。
- 3.ユーザがECサイトで決済した時に、不正なコードにより決済情報がWebスキミングされる
- 4.摂取された決済情報が攻撃者のサーバへ送信される
図3:プラットフォームを利用したWebスキミング(トレンドマイクロセキュリティブログより引用(※3))
最近では2019年9月に確認された攻撃は、Webサイト構築ベンダーの提供しているモジュールを改ざんすることで、当該ベンダーが構築した複数のホテルチェーンの予約サイトへ間接的にWebスキミング用の不正なコードを挿入する手法でした。この手法はPCからのアクセスでは無害ですがモバイル端末からのアクセスではWebスキミングが行われることが特徴的でした(※6)。
- 1.攻撃者は、ECサイト構築ベンダーの環境に侵入する
- 2.攻撃者は、ECサイト構築に用いられるモジュールを改ざんし、Webスキミング用の不正なコードを挿入する。モジュールを用いて構築されたECサイトへ不正なコードが組み込まれる。
- 3.ユーザがECサイトで決済した時に、不正なコードにより決済情報がWebスキミングされる
- 4.摂取された決済情報が攻撃者のサーバへ送信される
図4:モジュールを利用したWebスキミング(トレンドマイクロセキュリティブログより引用(※6))
この他にも不適切な設定のAmazon S3を見つけ、バケット上のJavaScriptファイルへ不正なコードを挿入することで、Webスキミングを実現する手法も確認されています(※7)。
これら事例のように、攻撃者がECサイト構築用プラットフォームやライブラリ、コンポーネントを攻撃し、ソフトウェアサプライチェーンを利用した攻撃を行った場合、一度に複数のECサイトへ影響が及び、大きな被害につながります。
対策
標的となるECサイト構築用プラットフォームも増加しており、2019年はWebスキミングによる攻撃が活発化し、直接ECサイトを改ざんしてWebスキミング用の不正なコードを挿入する手法とソフトウェアサプライチェーンを利用した間接的な手法の両方で多くのECサイトで決済情報が窃取されています。Webスキミングの被害に遭わないために、ECサイト提供者は、ミドルウェアやプラットフォームを適宜アップデートして脆弱性を解消するとともに、認証の仕組みやセキュリティ設定などの見直しにより、ECサイトを堅牢化することが望ましいです。特に管理画面や不必要なディレクトリ・ファイルへのアクセス制御や、管理者アカウントのパスワードの強化や二要素認証の導入、ログ監視を推奨します。
また、間接的な手法による被害を防ぐためには、信頼できるライブラリやプラグインのみを利用すること、そして少しでも早く改ざんされたライブラリに気づくために、定期的なセキュリティ診断やWeb改ざん検知ソリューションの導入なども一考してください。
https://securityaffairs.co/wordpress/82403/cyber-crime/payment-data-security-breach.html
https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf
https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/