【エバンジェリスト・ボイス】クレジットカード情報を狙うWebスキミング

サイバー・セキュリティ・ソリューション（CSS）部
エバンジェリスト　内山　史一

こんにちは。CSS部エバンジェリストの内山です。

まだまだ梅雨空が続きそうな気配ですね。
こうなると梅雨空を楽しむ方向に発想を切り替えた方が良さそうですが、どうしてもインドアな活動しか思い浮かびません。
雨が降る一日、皆さんはどのようにお過ごしですか？

さて、ここからが本題です。
皆さんは Web スキミングという言葉を聞いたことはありますか？

スキミングといえば、キャッシュカードの磁気に記録された口座番号や会員情報などを、カード読み取り機や ATM に仕掛けられたスキマーによって窃取する犯罪行為を思い浮かべる方も多いと思います。

Web スキミングとは、まさにスキミングの Web 版で、脆弱な EC サイト上に悪意のある JavaScript コードを注入して、 EC サイトの購入フォームに入力された決済情報を窃取する攻撃です。

攻撃イメージですがご覧のとおりです。

部品1_修正_1125x670

この Web スキミングは、 EC サイトの購入フォームに入力した内容を攻撃者のサーバーへ不正に送信することからフォームジャッキング攻撃とも呼ばれています。

セキュリティ企業のシマンテックのレポートによると、 2018 年にはフォームジャッキング攻撃によって侵害された Web サイトは、グローバルベースで毎月平均 4,800 件以上に上ることが分かっています。 ^[1]
また、侵害された Web サイトはメディアに報じられるような大企業ばかりではなく、中小規模の小売業者が多く、販売している商品も衣料や園芸用品、医療用品まで多岐にわたっています。
シマンテックによると、こうした Web スキミングの大半は、 Magecart と呼ばれるサイバー犯罪集団によるものとしています。

【サイバー犯罪集団 Magecartとは】
Magecart は Web スキミングを実行する複数の犯罪者グループの総称です。
6 ～ 7 のグループで活動しており、 TicketMaster 、 British Airways 、 Newegg といった大手 EC サイトの顧客のクレジットカード情報漏えいにも関与したとされています。 ^[2][3][4]

出典： RISKIQ Inside Magecart ^[5]

British Airways と言えば、このクレジットカード情報漏えいによって、一般データ保護規則 (GDPR) の下で 1 億 8340 万ポンド ( 約 250 億円 ) の罰金が科せられる可能性がでてきました。 ^[6]
この罰金の金額ですが、これまでの GDPR の下で下された処分の中では最大規模になる可能性があるとのことです。

仮に同社の Web サイトのセキュリティ対策が不十分だったとし、本来実施すべきであったセキュリティ対策にコストをかける方が、支払う可能性のある罰金の金額と比較してはるかに低コストだろうことは想像に難くありません。

Magecart の方に話を戻しますと、脆弱な EC サイトに対する直接的な攻撃の他に、セキュリティ企業のトレンドマイクロ社によって、サードパーティーの広告配信サービスが提供する JavaScript ライブラリに不正なコードを注入する攻撃が確認されています。 ^[7]
この場合、サードパーティーの広告配信サービスを利用する複数の EC サイトが侵害された JavaScript ライブラリを読み込み、バックグラウンドでスキミングコードが実行されます。
これにより、攻撃者は広範な EC サイトに影響を与えることができ、 EC サイトのユーザーからより多くのクレジットカード情報を窃取することが可能になります。

部品3_732x606
出典：新たに確認された Web スキミングの流れ（トレンドマイクロセキュリティブログより） ^[7]

【国内で発生しているWebスキミングの被害】
一方、国内においても、 Web スキミングと見られる攻撃によりクレジットカード情報が漏えいする被害が複数発生しています。
近年、被害にあったと公表している企業を見ると、健康食品サイト・ホテル予約サイト・家電製品通販サイト等、私達が普段の生活シーンで利用してもおかしくない EC サイトも見受けられます。
公開情報を見ても前述の Magecart の関与を裏付ける情報は何も確認できませんが、いずれにしてもグローバルで攻撃が多く観測されている Web スキミングは、決して対岸の火事ではないことを実感させられます。

国内で発生している Web スキミングは、攻撃者が購入フォームに仕込んだ JavaScript コードによって、クレジットカード情報を攻撃者のサーバーへ不正送信する手口の他に、以下のように偽のカード情報入力ページを正規の決済処理の中に挟み込む、更に手の込んだ巧妙な手口も観測されています。

部品4_1185x631

このように、誘導された偽のカード情報入力ページで決済処理を行おうとした際にエラーが表示され、その後に正規の決済ページへ遷移するため、ユーザーは不審さに気付かず決済処理を続ける可能性が高いと思われます。

私自身はカード情報を入力する際は入念に番号を確認するので、決済処理でエラー画面が表示されるとおかしいなとは思いつつも、最終的に決済処理が正常に終了したことが確認できれば、さほど気にすることはないかもしれません。

【Webスキミングの被害を防ぐにために】
Web スキミングは EC サイトのユーザーにとって気づきにくい攻撃と言えます。
従って、 Web スキミングに対しては EC サイト側の対策が非常に重要となります。
特に国内で観測されている Web スキミングの被害の多くは、 Web サイト改ざんによるものが多いと想定されるため、具体的にとりうる対策としては以下のようなものが挙げられます。

・ Web アプリケーションやプラットフォームの脆弱性対策（脆弱性診断やパッチマネジメント）の徹底
・ EC サイトの管理者権限の ID やパスワードの適切な管理の実施
・ EC サイトのシステム管理に利用する端末のマルウェア感染対策の徹底
・ Web サイトの改ざん検知ソリューションの導入
・リモートからの不正な書き換えを遮断する WAF(Web Application Firewall) の導入

今回のエントリーでご紹介した Web スキミングによるクレジットカードの不正利用は、誰にでも起こりうるリスクです。

私達ユーザーは、クレジットカードの利用明細を確認することを習慣づけることで、身に覚えのない不正利用を早期に発見することができます。
安心・安全なインターネットや Web サービスの実現は事業者側の責任範疇ではありますが、サイバー空間の危険性を知り自衛の策を講じる姿勢は、インターネット社会に生きる私達ユーザーに求められるものだと思います。

それでは、次のエントリーでお会いしましょう！

------------

脚注および参考情報

^[1] フォームジャッキングで数百万ドルもの利益を獲得するサイバー犯罪者、企業や消費者にとって重大な脅威に
^[2] Inside and Beyond Ticketmaster: The Many Breaches of Magecart

^[3] British Airways の情報流出、 Ticketmaster 事件のハッカーグループが関与か

^[4] 英航空大手の情報流出関与のハッカー、米ネットショップ Newegg の顧客カード情報盗難か

^[5] RISKIQ Inside Magecart

^[6] 英航空大手 British Airways に GDPR 違反で罰金約 250 億円の可能性 --2018 年に個人情報流出

^[7] サイバー犯罪集団「 Magecart 」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入

------------