2018年4月、オープンソースの電子商取引(e-commerce、EC)サイトプラットフォーム「Magento」で運用されている多くの Webサイトが総当たり攻撃や辞書攻撃の方法で改ざんされたことが確認されました。この改ざんにより、クレジットカード情報の窃取や、仮想通貨発掘マルウェア感染などの被害が発生したことが報告されています。
「Magento」は、ECサイトのプラットフォームとして、2016年時点で既に1,000億ドル以上(約10兆7千億円。2018年4 月13日時点)の売上を記録し 5,100万のユーザを抱えていました。また同社は、自身のブログ上で、Magento がオンライン取引のプラットフォームとして 2020年には 2,240億ドルに成長すると予測しています。クレジットカード情報や顧客の個人情報を扱う ECサイトはサイバー犯罪者にとっては格好の標的と言えます。実際、Magentoプラットホーム上の ECサイトは、2016年以降「KimcilWare(キムチルウェア)」、「ELF_CRYPTOR(クリプタ)」や「Rex(レックス)」といった複数のランサムウェアから、Magento の CMS が抱える脆弱性を利用する攻撃を受けてきました。このMagento の CMS の脆弱性は、ランサムウェア以外にも、脆弱性を突いてマルウェアに感染させる脆弱性攻撃ツール(エクスプロイトキット)などにも狙われています。
今回、総当たり攻撃などによる改ざん被害に遭った Magento の ECサイトは、恐らく、初期設定の認証情報あるいは推測容易な認証情報を使用していたため、被害に遭ったものと考えられると報告しています。攻撃者は、こうした総当たり攻撃などを自動的に実行するスクリプトを作成、認証を突破して Magento の管理パネルにアクセスしました。一旦、管理パネルにアクセスできるとコアダンプを格納した “core ファイル” に不正なコードを追加し、支払いおよびクレジットカード処理をするページにアクセスしたようです。そして、Webサーバが受信し処理した情報を傍受し、窃取したと考えられています。また、改ざんされた Webサイトから Adobe Flash Player の更新ファイルに偽装した不正ファイルをダウンロードさせることにより、クレジットカード情報を窃取する「AZORult(「TROJ_TIGGRE.LL」として検出)」や仮想通貨発掘マルウェア「Rarog(「COINMINER_MALXMR.TIBAGC」として検出)」に感染させました。
改ざんの被害に遭った Magento を使用する Webサイトは、少なくとも 1,000 と報告されています。また、この事例を確認したリサーチャは、米国および欧州の教育や医療関連業界が影響を受け、Magento 以外にも Powerfront や OpenCar tといった ECサイト向けのシステムを使用した Webサイトが狙われていることに言及しています。
■ECサイトの安全な運用に必要な対策とは
上述のとおり、オープンソースの ECサイトプラットフォームである「Magento」が狙われると、Linux の Webホスティングシステムが攻撃されたり、ECサイトが取り扱うクレジットカードおよび金銭の窃取の被害に遭うことになります。こうした脅威からWebサイトを防御するためには、設計段階からセキュリティを考慮して、Webアプリケーションが実行される Webサイトのインフラおよび環境を開発する必要があります。また機敏かつ臨機応変な開発、実行および運用を考慮して、開発担当者と運用担当者が協働して開発することも考慮すべきでしょう。
というのも、Webアプリケーションには、企業と顧客間でやり取りする機密情報あるいは基幹業務データを取り扱います。Webサイト運用の機能とモバイル用アプリとしての機能を備えた Magento の「progressive web application(PWA)」がいい例となるでしょう。機能を更に追加し、新しい技術を採用することで、アプリケーションと製品およびサーバ間との速やかな通信が可能となる一方で、セキュリティの課題も置き去りにされません。
ITセキュリティ教育を目的として 1989年に設立された「SANS Institute」の「InfoSec Reading Room: 2017 State of Application Security: Balancing Speed and Risk」によると、同研究所の調査に回答した企業の 15%がアプリケーション関連から情報が流出した経験あるという結果とは裏腹に、24%もの企業が一年に一度あるいはそれ以下しかセキュリティ上の検証をしていないことを明らかにしています。これは、2018年5月25日の施行が迫る「一般データ保護規則(General Data Protection Regulation、GDPR)」を考慮すると、憂慮すべきことと言えるでしょう。GDPR の施行後違反した場合、最大で対象組織の全世界での売上高の 4%あるいは 2,000万ユーロ(約26億4,900万円。2018年4 月13日時点)のいずれか大きい方が制裁金として科せられることになります。
開発担当者およびシステム管理者、運用担当者は、たった 1つの脆弱性、あるいは、初期設定あるいは推測容易な認証情報の使用が攻撃の要因となりうることを理解しなければなりません。また、防御以外にも、以下のように攻撃を軽減するセキュリティ上の仕組みを採用することを推奨します。
- 総当たり攻撃でよく実行される、過度のログインの試みを阻止する認証システム
- 管理者権限は最小限の人数での管理および使用
- アプリケーションの攻撃範囲を減らすためにデータへの暗号化を実施
- 脆弱性の有無を定期的に検証
参考記事:
- 「Magento-Based Websites Hacked to Steal Credit Card Data and Install Cryptocurrency-Mining Malware」
by TrendLabs
翻訳・記事構成:船越 麻衣子(Core Technology Marketing, TrendLabs)