偽オリンピックチケット販売サイトを「Magecart」が改ざん?

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、その中で非常に興味深い事例を確認しました。監視チームはあるWebサイトのコンテンツ内に、「Magecart」が使用する不正スクリプトが埋め込まれているのを発見しました。ECサイトを狙う攻撃で猛威を振るうMagecartについては昨年12月20日の記事などでも報告していますが、これも同様の攻撃の一事例と思われました。ただし、その被害を受けたと思しきサイトは「Olympic Tickets 2020」のサイト名で東京オリンピックのチケット販売サイトを名乗っていました。httpsの実装や「運営会社」の表示もあり、サイトを一見しただけでは不審点が見つけにくいものでしたが、海外で東京オリンピックのチケットを販売してよい業者は決まっています。また海外ではチケット転売に関してライセンス制を敷くなど合法な国も多いものですが、今回の東京オリンピックに関しては組織委員会が用意する公式リセールサービス以外での転売は禁じられています。これらのことから、このサイトはオリンピックチケット販売を詐称する偽サイトであるものと判断されました。本記事執筆時点の2月3日現在、既にこの偽サイトはアクセス不可になっていますが、今後も同様の事例が登場する可能性は高く、注意が必要です。

図1:Magecartの使用するスクリプトが発見されたWebサイト
図1:Magecartの使用するスクリプトが発見されたWebサイト
海外では指定業者にしか許可されていないはずの
オリンピックチケット売買を謳っており、偽サイトと判断できる

図2:サイト上のGoogle翻訳機能で日本語化した際の表示例
図2:サイト上のGoogle翻訳機能で日本語化した際の表示例

■改ざんされたのは偽サイト?

この偽サイトはGoogle翻訳を利用して各国語で表示する機能を備えています。またブログをはじめ各種ソーシャルメディアのアカウントが用意されていると共に、チャットサポートも準備されているなど、非常に巧妙に構築されているものと言えます。

図3:偽サイトの下部にあるブログや各種ソーシャルメディアへのリンク表示例
図3:偽サイトの下部にあるブログや各種ソーシャルメディアへのリンク表示例

図4:偽サイトのTwitterアカウントの表示例
図4:偽サイトのTwitterアカウントの表示例
同様にFacebook、Instagram、Pintrestのアカウントも実際に運用されていた

 https://blog.trendmicro.co.jp/wp-content/uploads/2020/02/図5:偽サイトに実装されている「チャットサポート」の表示例
図5:偽サイトに実装されている「チャットサポート」の表示例

https://blog.trendmicro.co.jp/wp-content/uploads/2020/02/図6:「チャットサポート」に話しかけてみたが「時間外」で有効な返信は確認できなかった
図6:「チャットサポート」に話しかけてみたが「時間外」で有効な返信は確認できなかった

かなり用意周到に準備されたと言える偽サイトですが、チケットを購入しようとした場合に入力される決済情報に対し有効性チェックが行われていない場合がありました。つまり、入力したクレジットカード番号の有効性に関わらず、チケット販売が完了した画面が表示されることがあるということです。これは、本物のチケット販売サイトとしては致命的な欠陥となりますが、フィッシング詐欺サイトではよくあることと言えます。

 https://blog.trendmicro.co.jp/wp-content/uploads/2020/02/図7:偽サイト上のカード情報入力画面例
図7:偽サイト上のカード情報入力画面例

この偽サイトでは、連絡先として「Independent Ticket Expert」を名乗る米国の会社が表示されています。この会社名で調査したところ、他にも3つのサイトの連絡先として使用されていることがわかりました。この3つのサイトはすべて欧州サッカーを扱うチケット販売サイトのように見えますが、上記のオリンピックチケット販売の偽サイトとほぼ同一の作りとなっており、同様の偽サイトであるものと言えます。

図8:オリンピックチケット販売の偽サイトと同一の連絡先となっているチケット販売サイトの例
図8:オリンピックチケット販売の偽サイトと同一の連絡先となっているチケット販売サイトの例
電話番号やGoogle翻訳を利用した多言語表示対応など共通点が多い

■なぜ偽サイトを改ざん?

話題を最初に戻しましょう。トレンドマイクロが最初に確認した時点で、オリンピックチケット販売の偽サイトには実際にMagecartが使用する不正スクリプトが含まれていました。しかしこの偽サイトの挙動について、より詳細な調査を行った1月27日時点では、既に不正スクリプトは存在していませんでした。この偽サイトを構築したのがMagecart自身だったとして、わざわざ不正スクリプトを設置する必要はありません。被害者が入力する情報をそのまま受け取ればいいだけのことです。つまり、ここから推測されることは、

  • Magecartはインターネット上の脆弱なECサイトを探す中で、この偽サイトを発見し、改ざんの上で不正スクリプトを設置した
  • 偽サイトを運用するサイバー犯罪者は改ざんに気づき、不正スクリプトを除去した

ということです。つまり、偽サイトには脆弱性や不適切な設定などの弱点が存在していた。それを発見したMagecartは一般のECサイトと同様に攻撃をかけた、ということです。更なる調査によれば、この偽サイトに設置されていた不正スクリプトは、以前にMagecartの攻撃と確認した広告配信サービスを侵害する攻撃事例の際の不正スクリプトと共通点があるとわかりました。いずれにせよ、この偽サイト上でチケットを購入した被害者のカード情報は、この偽サイトを作ったサイバー犯罪者の手に渡った可能性があります。加えて、改ざんを受けていた期間内であれば、別のサイバー犯罪者、つまりMagecartの手にも渡っている可能性があります。

■被害に遭わないためには

オリンピックのチケットを購入したい個人利用者は多いものと思います。しかし、本文中でも示したように、東京オリンピックのチケットの販売や転売は制限されています。ネット上でオリンピックのチケットを購入する場合には、オリンピック組織委員会が公表している正式な販売サイト、もしくは公式リセールサービスかどうかを確認してください。

Magecartなど、ECサイトを狙うサイバー犯罪者は、脆弱性や設定ミスなど、何らかの弱点を抱えたECサイトを探しだして攻撃します。ECサイトを運営する法人組織では、運用開始前に脆弱性や設定ミスがないか、確認することが前提となります。ECサイトで使用するソフトウェアを常に最新版に更新し、修正パッチを適用しておくことで、サイバー犯罪者につけ入る隙を与えないことに繋がります。運用上の都合などで直ちに更新やパッチ適用が行えない場合にも、影響を最小限に抑えるための回避策を行うことが必要となります。さらに、ECサイトを監視し、不正アクセスや情報漏えいなどの兆候に早期に気づき、適切な対応を行うことができるような体制構築も重要です。

■トレンドマイクロの対策

偽サイト対策:

トレンドマイクロでは、偽サイトやフィッシングサイトなどの不正サイトを「Web レピュテーション(WRS)」技術によりブロックします。また、フィッシングサイトへ誘導するフィッシングメールに関しては「E-Mail レピュテーション(ERS)」技術によりフィルタリングします。

サイト改ざん対策:

統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、仮想パッチ機能によって、更新プログラムが配信されていない脆弱性を狙う攻撃からWebサーバを防御します。また、変更監視機能やセキュリティログ監視機能で予期しないシステム変更を警告することにより、Webサーバ上で行われる不審な活動を早期に可視化することが可能です。