クレカ情報漏えいを招く脆弱性が潜んでいた“あのECサイト構築ツール”とは?「Magecart」がECサイトを狙う

サイバー犯罪集団「Magecart」は、あるECサイト構築ツールの脆弱性を積極的に悪用している。ECサイトからのクレジットカード情報につながる恐れがあるという、その脆弱性とは何なのか。

2022年12月16日 08時15分 公開
[Shaun NicholsTechTarget]

 クレジットカード情報を狙うサイバー犯罪集団「Magecart」の攻撃活動が盛んなことを受け、セキュリティ専門家は企業に対して注意を呼び掛けている。特に警戒が必要なのは、

  • AdobeのEC(Eコマース:電子商取引)サイト構築ツール「Adobe Commerce」(旧「Magento」)

のユーザー企業だという。

 セキュリティベンダーSanguine Security(Sansecの名称で事業展開)、Magecartの攻撃によって、Adobe Commerceで構築されたECサイトの約4割がマルウェア「TrojanOrder」に感染しているとみる。TrojanOrderはAdobe Commerceの脆弱(ぜいじゃく)性を悪用して不正注文を実施し、ECサイトにトロイの木馬(潜伏型マルウェア)を注入。エンドユーザーのクレジットカード情報の窃取を図る。

ECサイトはサイバー犯罪者の“激戦区” 攻撃を見破る要注意の言葉とは

 Sansecの脅威分析チームはECサイトの開発者や加盟店に対し、「特定の国や地域を問わず、TrojanOrderによる不正注文に注意を払う必要がある」と言う。TrojanOrderが悪用するのは、Adobe Commerceの脆弱性「CVE-2022-24086」だ。2022年2月に公開され、重大なセキュリティリスクとして評価されている。米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)のスコアは、緊急性が極めて高い「9.8」だ。

 Adobeは2022年2月、CVE-2022-24086のパッチ(修正プログラム)を公開した。企業は速やかに適用する必要があるが、企業によっては他のパッチ適用を優先し、CVE-2022-24086のパッチを適用していない可能性がある。SansecはAdobe Commerceで構築されているECサイトの約3割が脆弱なままになっていると推定する。

 Sansecによれば、最大7つのサイバー犯罪集団がCVE-2022-24086を標的にして活動している。攻撃に使用しているのは、闇市場で2万〜3万ドルで販売されている攻撃用キットだ。こうしたキットを使えば、信頼される購入者を装ってECサイトを感染させ、エンドユーザーのクレジットカード情報を盗めるとSansecは説明する。

 クリスマス商戦や年末商戦を機にECサイトの利用が増加し、TrojanOrder感染のリスクが高まるとSansecはみる。「攻撃者は感染させるECサイトが多いほど、入手できるクレジットカード情報が増えると考え、とにかく活動がアグレッシブになる」(同社)。攻撃者が、盗んだクレジットカード情報を他の犯罪者に転売する恐れがあるという。

 対策としてSansecは、Adobe Commerceのユーザー企業に対し、アップデートの実施を推奨している。すでに感染しているECサイトもあるため、疑わしい取引を監視することも重要だという。Sansecによると、エンドユーザーの名前や住所に「system」や「pwd」といった言葉が入っていればTrojanOrderである可能性が高く、すぐに対策を講じる必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news132.jpg

「Apple炎上」から何を学ぶか?(無料eBook)
Appleが新しい「iPad Pro」の広告用に公開した「Crush!」が世界中で大炎上したのは記憶に...

news105.jpg

Web担当者を悩ませる「フォーム営業」をブロック 「ヘルプドッグフォーム」に新機能
ノーコードのフォーム作成管理システム「ヘルプドッグフォーム」が「フォーム営業ブロッ...

news070.jpg

Xの「いいね!」非公開化 イーロン・マスク氏の真の狙いは?
Xが「いいね!」を非公開化するアップデートを実施した。狙いの一つは、Xユーザーが他人...