ブログ

マジックカートの混乱

F5 サムネイル
F5
2019年7月1日公開

バーベキューや野球の試合、裏庭での遊びなど夏が近づいていますが、昨年の小売、テクノロジー、製造業における侵害の第一の根本原因は何だったのだろうと疑問に思うことがあっても、それほど驚かないでください。 F5 Labs によると、それはMagecartです。

Magecartとは何ですか? Magecart は、実際にはサイバー犯罪組織のグループに付けられた用語です。 少なくとも 12 のグループが責任を負っており、それぞれが独自の専門分野を持っています。 たとえば、グループ 5 は 2018 年の Ticketmaster 攻撃に関与していると言われています。 しかし、このタイプの攻撃はグループ 1 から始まり、2014 年から発生しています。

このグループは、脆弱なサーバーを悪用したり、ショッピングカートのページを侵害したりすることから始めました。 彼らは、独自の悪意のあるソフトウェアを使用してコンテンツ、コード、スクリプトを変更し、クレジットカードや個人データを盗みます。

彼らは、サードパーティの広告サービスを通じて配信される Web コード インジェクション攻撃を通じて支払い情報を盗み取ることができる段階にまで進歩しました。 攻撃者は広告サービスを侵害し、悪意のあるコードを挿入します。 侵害された JavaScript ライブラリは、広告サービスが提供する電子商取引 Web サイトに読み込まれます。 顧客がクレジットカード情報を入力している間、スキマーはバックグラウンドで動作してデータを盗みます。 キャプチャされたら、そのルーチンはご存じのとおり、サーバー上に保存されて返信され、闇の売り手/買い手に渡され、そこで商品を購入するか、ブランクを再ストライプ化しますが、何が起こったのかはわかりません。

チケットマスター(前述の通り)、ニューエッグ、サザビーズ、ブリティッシュ・エアウェイズはすべて被害者となっている。 実際、Ticketmaster の場合、同社自身が直接侵害を受けたわけではなく、サードパーティのサプライヤーが侵害を受けたのです。 Ticketmaster 用に作成されたカスタム JavaScript モジュールが、デジタル スキマー コードに置き換えられました。 しかし、彼らだけではありませんでした。 何百ものサイトがこの方法で侵害されています。

サードパーティのシステムを侵害することは、ターゲットにアクセスするための優れた方法です。 多くの場合、セキュリティ層が少ない小規模な企業です。 そして、彼らはターゲットに直接アクセスできます。 適切にセグメント化されていない、または何らかの認証で保護されていないバックエンド ネットワーク接続を介して攻撃が行われた時代を覚えていますか? ほぼ同じですが、今はデジタル広告になっています。 配達は他の人に任せましょう。

デジタルカードスキミングは、成功する可能性が高く、比較的簡単なため、犯罪者にとって魅力的です。 その他の攻撃を成功させるには、マルウェアや直接的な侵害、さらにはソーシャル エンジニアリングなどが必要になります。 時間、労力、そして時には専門知識も必要になります。 また、Magecartと比較すると成功率は低くなります。 簡単に手に入る高収益のものをなぜ選ばないのか?

これが成功しているもう一つの理由は、顧客がそれを検知することがほぼ不可能であることです。 送料無料のために興奮しながら支払い情報を入力している間、スキマーは目に見えない形でフィールド上を漂い、あなたのデータを取得しようとしています。 従来、スキマーは ATM、ガソリン ポンプ、チェックアウト キオスクなどの物理的な「追加機能」でした。 それは実際のインサートを覆うものである可能性もあれば、機械に溶け込むように設計された薄い膜である可能性もあります。 カードを挿入する場所をよく確認したり、スリットに指を走らせて異常がないか確認したりすることで、こうした物理的な脅威を阻止できます。 デジタルの場合は、実質的には目に見えません。 インジェクション攻撃が OWASP トップ 10 のトップに留まっているのも不思議ではありません。

攻撃者は検出を避けるために常にコードを繰り返します。 難読化、暗号化、さらにはサイト上で既に実行されている可能性のある他のカードスキミングソフトウェアの妨害や無効化も行います。 あるケースでは、スクリプトは検出と分析を阻止するために、ブラウザ デバッガ コンソールのメッセージを継続的にクリーンアップしていました。 TrendMicro によると、Group 12 のスクリプトは URL に「請求」、「チェックアウト」、「購入」などのキーワードが含まれているかどうかをチェックするほどです。 さらに、バスケットを意味するフランス語「panier」や、チェックアウトを意味するドイツ語「kasse」も取り入れ、ローカライズも行いました。 ターゲットの文字列に気付くと、スクリプトはスキムを開始し、各被害者は識別するために生成された乱数を取得します。 被害者がブラウザを閉じるか更新すると、別の JavaScript イベントが起動し、キャプチャされた支払いデータ、e タグ (乱数)、および電子商取引ドメインがリモート サーバーに送信されます。

RiskIQによると、Magecart は、Target や Home Depot の POS 侵害よりも大きな脅威となる可能性がある、大規模なアクティブな脅威です。 研究者たちはこのリスクに気づき始めていますが、すべての攻撃を検出できるようになるわけではありません。 犯罪者は賢い。

多くのセキュリティ上の脅威と同様に、階層化または多層防御のアプローチが重要です。 当然のことながら、すべてのサーバーにパッチを適用し、機密性の高いシステムをセグメント化することが重要です。 すべての拡張機能とサードパーティ システムが最新であることを確認することも重要です。 CDN (外部ソース) または他のドメインを通じて配信されるコンテンツとファイルが変更または改ざんされていないことを確認することも重要です。 そして確かに、Magecart によって悪用される既知の脆弱性に焦点を当てたシグネチャやルールセットを備えたWAFが役立ちます。

こうした攻撃は常に進化しており、より巧妙になり、新たな標的を探しています。 また、サプライチェーン攻撃により、犯罪者は何千ものサイトにアクセスできるようになります。 一気に。

最後に、いかなる違反も、クレジットカード、銀行、財務諸表を定期的にチェックして、異常なアクティビティがないか確認するという良い教訓となります。 見て、報告してください。

Magecart やその他のインジェクション脆弱性についてさらに詳しく知りたい場合は、F5 Labs の「アプリケーション保護レポート 2019」エピソード 3 をご覧ください。 Web インジェクション攻撃がさらに凶悪に