クレカ情報漏えいを招く脆弱性が潜んでいた“あのECサイト構築ツール”とは？：「Magecart」がECサイトを狙う

サイバー犯罪集団「Magecart」は、あるECサイト構築ツールの脆弱性を積極的に悪用している。ECサイトからのクレジットカード情報につながる恐れがあるという、その脆弱性とは何なのか。

[Shaun Nichols，TechTarget]

　クレジットカード情報を狙うサイバー犯罪集団「Magecart」の攻撃活動が盛んなことを受け、セキュリティ専門家は企業に対して注意を呼び掛けている。特に警戒が必要なのは、

• AdobeのEC（Eコマース：電子商取引）サイト構築ツール「Adobe Commerce」（旧「Magento」）

のユーザー企業だという。

併せて読みたいお薦め記事

マルウェアの動向を抑えるには

• 人のように振る舞う「AIマルウェア」の脅威とは
• 「シェルコード」とは？　凶悪なマルウェア感染を可能にする手口

　セキュリティベンダーSanguine Security（Sansecの名称で事業展開）、Magecartの攻撃によって、Adobe Commerceで構築されたECサイトの約4割がマルウェア「TrojanOrder」に感染しているとみる。TrojanOrderはAdobe Commerceの脆弱（ぜいじゃく）性を悪用して不正注文を実施し、ECサイトにトロイの木馬（潜伏型マルウェア）を注入。エンドユーザーのクレジットカード情報の窃取を図る。

ECサイトはサイバー犯罪者の“激戦区”　攻撃を見破る要注意の言葉とは

　Sansecの脅威分析チームはECサイトの開発者や加盟店に対し、「特定の国や地域を問わず、TrojanOrderによる不正注文に注意を払う必要がある」と言う。TrojanOrderが悪用するのは、Adobe Commerceの脆弱性「CVE-2022-24086」だ。2022年2月に公開され、重大なセキュリティリスクとして評価されている。米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）のスコアは、緊急性が極めて高い「9.8」だ。

　Adobeは2022年2月、CVE-2022-24086のパッチ（修正プログラム）を公開した。企業は速やかに適用する必要があるが、企業によっては他のパッチ適用を優先し、CVE-2022-24086のパッチを適用していない可能性がある。SansecはAdobe Commerceで構築されているECサイトの約3割が脆弱なままになっていると推定する。

　Sansecによれば、最大7つのサイバー犯罪集団がCVE-2022-24086を標的にして活動している。攻撃に使用しているのは、闇市場で2万〜3万ドルで販売されている攻撃用キットだ。こうしたキットを使えば、信頼される購入者を装ってECサイトを感染させ、エンドユーザーのクレジットカード情報を盗めるとSansecは説明する。

　クリスマス商戦や年末商戦を機にECサイトの利用が増加し、TrojanOrder感染のリスクが高まるとSansecはみる。「攻撃者は感染させるECサイトが多いほど、入手できるクレジットカード情報が増えると考え、とにかく活動がアグレッシブになる」（同社）。攻撃者が、盗んだクレジットカード情報を他の犯罪者に転売する恐れがあるという。

　対策としてSansecは、Adobe Commerceのユーザー企業に対し、アップデートの実施を推奨している。すでに感染しているECサイトもあるため、疑わしい取引を監視することも重要だという。Sansecによると、エンドユーザーの名前や住所に「system」や「pwd」といった言葉が入っていればTrojanOrderである可能性が高く、すぐに対策を講じる必要がある。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。