ウェブスキミング

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方） 出典検索?: "ウェブスキミング" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2023年11月）

ウェブスキミング（英語: Web skimming, formjacking, magecart attack）は、攻撃者が悪意のあるコードをウェブサイトに挿入し、ユーザーがWebページのフォームに入力したデータを盗み取る攻撃である。そのデータはその後、攻撃者の制御下にあるサーバーに送信される。

コードの挿入には、主に当該ウェブサイトで使用されるミドルウェアの脆弱性が利用されるが、他にアクセス制御の不備などを利用する方法もある。

対応策

ミドルウェアの脆弱性を利用した攻撃に対しては、当該脆弱性を解消したバージョンへの更新が基本的な対策となる。

ウェブスキミングに対抗するためには、Subresource IntegrityやContent Security Policy（英語版）を使用できるが、これらはサプライチェーン攻撃には対抗できない。

あるいはWeb Application Firewallも利用できる。

影響

この攻撃が本格的に検出されるようになったのは2010年頃からで、日本では2013年3月にJINSのオンラインショップにおいて確認されたものが最初とされる^[1][2]。

2016年の報告書では、最大で6,000箇所のeコマースサイトが、この種の攻撃に晒された可能性が示唆された。2018年には、ブリティッシュ・エアウェイズがこの種の攻撃を受け、380,000件のクレジットカード情報が盗まれた。同年に、Ticketmasterも同様の攻撃に見舞われ、支払いページに悪意のあるコードが挿入され、40,000人の顧客が影響を受けた。

Magecart

Magecartは、さまざまなハッキンググループが利用するソフトウェアで、悪意のあるコードをeコマースWebサイトに挿入して決済情報などを盗むために使用される。Newegg攻撃に使用された標的型攻撃だけでなく、汎用のMagento拡張機能と組み合わせた攻撃方法が使用されている。また、”Shopper Approved” というeコマースサイト用ツールキットで構築された数百のサイトも、Magecartの影響をうけた。InfoWarsもMagecartによって影響を受けた。

Malwarebytesによれば、Magecartは、悪意のあるコードが検出されないようにするために、WebGL APIを使用して、”swiftshader", "llvmpipe", "VirtualBox"などのソフトウェアが使用されているかどうかを確認する。これは、悪意あるソフトウエアを検出するために、実用の購買サイトを模したサイトが仮想マシンで実行されている可能性があるからである。

2023年10月には、Magecartのとあるバージョンでは、感染したウェブサイトの404エラーページ全てに悪意あるコードが挿入されていたとの報告があった。デフォルトの "404 Not Found" ページが、カード情報を盗むコードをロードして隠蔽するのに用いられ、この場合、サイト訪問者が例えば注文フォームに決済情報を入力すると、偽の「セッションタイムアウト」エラーを表示してエラーページに遷移し、その裏で入力した情報が攻撃者に送信される仕組みである。

脚注

[脚注の使い方]

1. ^ 不正アクセス（JINSオンラインショップ）に関する調査結果（最終報告） - JINS
2. ^ @ockeghemのツイート（2023年11月15日）