検索:
ホーム   »   不正プログラム   »   米国の地方自治体向けWeb決済プラットフォームを狙う「Magecart」のEスキミング攻撃

米国の地方自治体向けWeb決済プラットフォームを狙う「Magecart」のEスキミング攻撃

  • 投稿日:2020年8月12日
  • 脅威カテゴリ:不正プログラム, サイバー犯罪
  • 執筆:Trend Micro
0

米国の3つの州に存在する8都市が、サイバー犯罪者グループ「Magecart」によるEスキミング攻撃の標的となりました。これらの攻撃において、同グループは侵害したWebサイトで彼らの使用する不正スクリプト「スキマー」をホストし、標的とする地方自治体居住者のクレジットカード情報を窃取していました。

侵害されたWebサイトはいずれも、地方自治体向けWeb決済プラットフォームである「Click2Gov」で構築されたものでした。Click2Govはコミュニティへの参画や問題の報告、各種公共料金の支払いなどのサービスを提供するプラットフォームです。このような公共向け決済サイトからの情報漏えい事例は、これが初めてではありません。2018年と2019年にもClick2Govを使用するいくつかの町や都市のWebサイトが侵害されています。

図1:クレジットカードスキミング攻撃の流れ

トレンドマイクロは、Magecartの攻撃でよく見られるJavaScriptで作成されたスキマーを検出することで、8都市のWebサイトが侵害されたことを特定しました。漏えいした情報には次のものが含まれます。

  • クレジットカード情報(カード番号、有効期限、CVV番号)
  • 個人情報(名前と連絡先)

スキマーと、使用されているインフラストラクチャについて解析したところ、今回の漏えいと2018年および2019年の事例との間の関連性は確認されませんでした。とはいえ、8都市中5都市は以前の漏えい事例でも影響を受けていた都市です。トレンドマイクロは、今回の攻撃は今年2020年4月10日に始まり、現在も継続していると考えています。

■Eスキミング攻撃を解析

攻撃は、侵害されたClick2Gov のWebサイトでオンライン決済をする際に発生します。JavaScriptコードが決済ページにインジェクトされ、利用者が支払いページを閲覧するタイミングでクレジットカードスキマーが読み込まれます。

さまざまな種類の決済フォーム上のデータを取得する他のスキマーとは異なり、ここで使用されるスキマーは比較的単純で、Click2Govの支払いフォームでのみ機能します。難読化やアンチデバッグの手法は使用されていませんでした。スキマーは、支払いフォームのsubmitイベントをフックします。利用者がボタンをクリックして支払い情報を送信すると、スキマーは支払いフォーム内の選択された記入欄から情報を取得し、収集した情報をHTTP POSTリクエストを介して遠隔のサーバに直ちに送信します。

図2:Click2Gov決済ページにインジェクトされたクレジットカードスキマー
抽出情報 記入欄のID 抽出リクエストのスキーマ
クレジットカード番号 accountNumber accountNumber
クレジットカードのCVV番号 cvv2 cvv
クレジットカードの有効期限(年) expirationDate.year year
クレジットカードの有効期限(月) expirationDate.month month
クレジットカードの有効期限(日) expirationDate.date date
カード所有者の名前 firstName firstName
カード所有者のミドルネーム middleInitial middleInitial
カード所有者の姓 lastName lastName
連絡先1 contact.address1 address1
連絡先2 contact.address2 address2
連絡先住所(市) contact.city city
連絡先住所(州) contact.state State
連絡先住所(ZIPコード) contact.zip ZipCode

表1:抽出される情報の詳細

トレンドマイクロは、攻撃に使用された抽出サーバ2つを特定することに成功しました。どちらも、実際のJavaScriptスキマーと、収集データを受信するために使用される.JSPのファイルをホストしていました。サーバの1つは3つのサイトで使用され、もう1つのサーバは残りの5つのサイトで使用されていました。抽出サーバのホスト名が異なる以外は、使用される2つのスキマーは同一のものです。

図3:クレジットカードスキマーのスクリプト
図4:抽出リクエストの例
■攻撃の背景と帰属

Click2Govは、これまでにも度重なる侵害や攻撃に見舞われてきました。プラットフォーム開発者の「CentralSquare Technologies」は、さまざまなローカルでホストされているWebサイトのセキュリティ問題に関する声明を2018年に発表しました。その年の終わりには他のリサーチャが、Click2Govサイトから約30万件の記録が流出したことを報告しました。

2018年の別のレポートでも、Click2Govで構築されたWebサイトが攻撃者の標的となり、クレジットカード情報が窃取された類似ケースについて報告されています。2019年には別の漏えいが発見され、8都市のデータが地下市場で販売されていることが明らかになりました。

今回報告する攻撃と、以前の漏えい事例との関係については、調査結果が関連性を示していないため、現時点で明らかになっていません。唯一の関連は、今回の漏えいで影響を受けた都市のうち5つが2018年にも攻撃を受けており、 2つが2019年にも攻撃を受けている点です。

■被害に遭わないためには

Web上でのクレジットカードのスキミング、つまりEスキミング攻撃は、依然として電子商取引業者にとって大きな脅威です。被害を受けるのは、典型的な電子商取引(EC)サイトの利用者に限定されません。2019年には、学術機関やホテルチェーンが同様の攻撃の標的にされたことも確認しました。今回、攻撃者はさまざまな地方自治体のWebサイトを標的にしました。このことは、オンライン決済サイトの運営組織とその顧客の両方を保護するため、ポータルサイトのセキュリティ保護がいかに重要であるかを強調しています。

■トレンドマイクロの対策

次のトレンドマイクロのソリューションは、悪意のあるスクリプトをブロックし、不正なドメインへのアクセスを抑止することにより、ユーザおよびビジネスを保護します。

  • 個人のお客様向けの製品ラインナップ
  • 法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」
  • 中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」
  • 高度な脅威と標的型サイバー攻撃を検出、分析して防御する「Network Defence」
  • 物理・仮想・クラウドの混在環境にシンプルなセキュリティを提供する「Hybrid Cloud Security」
■侵入の痕跡(Indicators of Compromise、IoCs)

侵入の痕跡はこちらを参照してください。

参考記事:

  • 「US Local Government Services Targeted by New Magecart Credit Card Skimming Attack」
    by Joseph C Chen (Fraud Researcher)

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. POSマルウェア「MajikPOS」、窃取したカード情報をアンダーグラウンドで販売
  2. 共通点の多い「TDSS」と 「ZACCESS」、敵か味方か
  3. 米大手小売業の大規模な情報漏えい事例からネットワークセキュリティ対策の重要性を再認識
  4. バレンタインに便乗したスパムメールに注意
Tags: クレジットカードスキミング攻撃Magecart


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.