クレカ情報漏えいを招く脆弱性が潜んでいた“あのECサイト構築ツール”とは?「Magecart」がECサイトを狙う

サイバー犯罪集団「Magecart」は、あるECサイト構築ツールの脆弱性を積極的に悪用している。ECサイトからのクレジットカード情報につながる恐れがあるという、その脆弱性とは何なのか。

2022年12月16日 08時15分 公開
[Shaun NicholsTechTarget]

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 クレジットカード情報を狙うサイバー犯罪集団「Magecart」の攻撃活動が盛んなことを受け、セキュリティ専門家は企業に対して注意を呼び掛けている。特に警戒が必要なのは、

会員登録(無料)が必要です
  • AdobeのEC(Eコマース:電子商取引)サイト構築ツール「Adobe Commerce」(旧「Magento」)

のユーザー企業だという。

 セキュリティベンダーSanguine Security(Sansecの名称で事業展開)、Magecartの攻撃によって、Adobe Commerceで構築されたECサイトの約4割がマルウェア「TrojanOrder」に感染しているとみる。TrojanOrderはAdobe Commerceの脆弱(ぜいじゃく)性を悪用して不正注文を実施し、ECサイトにトロイの木馬(潜伏型マルウェア)を注入。エンドユーザーのクレジットカード情報の窃取を図る。

ECサイトはサイバー犯罪者の“激戦区” 攻撃を見破る要注意の言葉とは

 Sansecの脅威分析チームはECサイトの開発者や加盟店に対し、「特定の国や地域を問わず、TrojanOrderによる不正注文に注意を払う必要がある」と言う。TrojanOrderが悪用するのは、Adobe Commerceの脆弱性「CVE-2022-24086」だ。2022年2月に公開され、重大なセキュリティリスクとして評価されている。米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)のスコアは、緊急性が極めて高い「9.8」だ。

 Adobeは2022年2月、CVE-2022-24086のパッチ(修正プログラム)を公開した。企業は速やかに適用する必要があるが、企業によっては他のパッチ適用を優先し、CVE-2022-24086のパッチを適用していない可能性がある。SansecはAdobe Commerceで構築されているECサイトの約3割が脆弱なままになっていると推定する。

 Sansecによれば、最大7つのサイバー犯罪集団がCVE-2022-24086を標的にして活動している。攻撃に使用しているのは、闇市場で2万~3万ドルで販売されている攻撃用キットだ。こうしたキットを使えば、信頼される購入者を装ってECサイトを感染させ、エンドユーザーのクレジットカード情報を盗めるとSansecは説明する。

 クリスマス商戦や年末商戦を機にECサイトの利用が増加し、TrojanOrder感染のリスクが高まるとSansecはみる。「攻撃者は感染させるECサイトが多いほど、入手できるクレジットカード情報が増えると考え、とにかく活動がアグレッシブになる」(同社)。攻撃者が、盗んだクレジットカード情報を他の犯罪者に転売する恐れがあるという。

 対策としてSansecは、Adobe Commerceのユーザー企業に対し、アップデートの実施を推奨している。すでに感染しているECサイトもあるため、疑わしい取引を監視することも重要だという。Sansecによると、エンドユーザーの名前や住所に「system」や「pwd」といった言葉が入っていればTrojanOrderである可能性が高く、すぐに対策を講じる必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/09 UPDATE

  1. どれだけできている? まさかの「データ流出」を防ぐ“11個の要点”
  2. 信頼していたWebサイトがまさかの感染源? 「水飲み場型攻撃」の手口とは
  3. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”
  4. 「App Store」や「Google Play」で“危険なアプリ”を見極める方法
  5. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  6. Appleをだます“不正なiPhone修理”の手口と危険性
  7. ゼロトラストの進化系? 「ゼロスタンディング特権」(ZSP)とは何か
  8. 予算や人手不足でも諦めない「AIリスク管理」 2大フレームワークの活用法は?
  9. Androidスマホが示す7つの“危険な兆候”とは? 今すぐやるべきマルウェア対策
  10. ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは?

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方