クレカ情報漏えいを招く脆弱性が潜んでいた“あのECサイト構築ツール”とは?「Magecart」がECサイトを狙う

サイバー犯罪集団「Magecart」は、あるECサイト構築ツールの脆弱性を積極的に悪用している。ECサイトからのクレジットカード情報につながる恐れがあるという、その脆弱性とは何なのか。

2022年12月16日 08時15分 公開
[Shaun NicholsTechTarget]

 クレジットカード情報を狙うサイバー犯罪集団「Magecart」の攻撃活動が盛んなことを受け、セキュリティ専門家は企業に対して注意を呼び掛けている。特に警戒が必要なのは、

  • AdobeのEC(Eコマース:電子商取引)サイト構築ツール「Adobe Commerce」(旧「Magento」)

のユーザー企業だという。

 セキュリティベンダーSanguine Security(Sansecの名称で事業展開)、Magecartの攻撃によって、Adobe Commerceで構築されたECサイトの約4割がマルウェア「TrojanOrder」に感染しているとみる。TrojanOrderはAdobe Commerceの脆弱(ぜいじゃく)性を悪用して不正注文を実施し、ECサイトにトロイの木馬(潜伏型マルウェア)を注入。エンドユーザーのクレジットカード情報の窃取を図る。

ECサイトはサイバー犯罪者の“激戦区” 攻撃を見破る要注意の言葉とは

 Sansecの脅威分析チームはECサイトの開発者や加盟店に対し、「特定の国や地域を問わず、TrojanOrderによる不正注文に注意を払う必要がある」と言う。TrojanOrderが悪用するのは、Adobe Commerceの脆弱性「CVE-2022-24086」だ。2022年2月に公開され、重大なセキュリティリスクとして評価されている。米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)のスコアは、緊急性が極めて高い「9.8」だ。

 Adobeは2022年2月、CVE-2022-24086のパッチ(修正プログラム)を公開した。企業は速やかに適用する必要があるが、企業によっては他のパッチ適用を優先し、CVE-2022-24086のパッチを適用していない可能性がある。SansecはAdobe Commerceで構築されているECサイトの約3割が脆弱なままになっていると推定する。

 Sansecによれば、最大7つのサイバー犯罪集団がCVE-2022-24086を標的にして活動している。攻撃に使用しているのは、闇市場で2万〜3万ドルで販売されている攻撃用キットだ。こうしたキットを使えば、信頼される購入者を装ってECサイトを感染させ、エンドユーザーのクレジットカード情報を盗めるとSansecは説明する。

 クリスマス商戦や年末商戦を機にECサイトの利用が増加し、TrojanOrder感染のリスクが高まるとSansecはみる。「攻撃者は感染させるECサイトが多いほど、入手できるクレジットカード情報が増えると考え、とにかく活動がアグレッシブになる」(同社)。攻撃者が、盗んだクレジットカード情報を他の犯罪者に転売する恐れがあるという。

 対策としてSansecは、Adobe Commerceのユーザー企業に対し、アップデートの実施を推奨している。すでに感染しているECサイトもあるため、疑わしい取引を監視することも重要だという。Sansecによると、エンドユーザーの名前や住所に「system」や「pwd」といった言葉が入っていればTrojanOrderである可能性が高く、すぐに対策を講じる必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2024年3月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news175.png

AI同士が議論して商品開発のアイデア出し 博報堂が「マルチエージェント ブレストAI」の業務活用を開始
専門知識を持ったAI同士が協調して意思決定と企画生成を行う仕組みを活用。最適な結論や...

news172.jpg

デジタルサイネージ一体型自動ドアによる広告配信サービス ナブテスコが提供
ナブテスコがデジタルサイネージ一体型自動ドアを広告メディアとして利用する新サービス...