米国の地方自治体向けWeb決済プラットフォームを狙う「Magecart」のEスキミング攻撃

米国の3つの州に存在する8都市が、サイバー犯罪者グループ「Magecart」によるEスキミング攻撃の標的となりました。これらの攻撃において、同グループは侵害したWebサイトで彼らの使用する不正スクリプト「スキマー」をホストし、標的とする地方自治体居住者のクレジットカード情報を窃取していました。

侵害されたWebサイトはいずれも、地方自治体向けWeb決済プラットフォームである「Click2Gov」で構築されたものでした。Click2Govはコミュニティへの参画や問題の報告、各種公共料金の支払いなどのサービスを提供するプラットフォームです。このような公共向け決済サイトからの情報漏えい事例は、これが初めてではありません。2018年2019年にもClick2Govを使用するいくつかの町や都市のWebサイトが侵害されています。

図1:クレジットカードスキミング攻撃の流れ

トレンドマイクロは、Magecartの攻撃でよく見られるJavaScriptで作成されたスキマーを検出することで、8都市のWebサイトが侵害されたことを特定しました。漏えいした情報には次のものが含まれます。

  • クレジットカード情報(カード番号、有効期限、CVV番号)
  • 個人情報(名前と連絡先)

スキマーと、使用されているインフラストラクチャについて解析したところ、今回の漏えいと2018年および2019年の事例との間の関連性は確認されませんでした。とはいえ、8都市中5都市は以前の漏えい事例でも影響を受けていた都市です。トレンドマイクロは、今回の攻撃は今年2020年4月10日に始まり、現在も継続していると考えています。

Eスキミング攻撃を解析

攻撃は、侵害されたClick2Gov のWebサイトでオンライン決済をする際に発生します。JavaScriptコードが決済ページにインジェクトされ、利用者が支払いページを閲覧するタイミングでクレジットカードスキマーが読み込まれます。

さまざまな種類の決済フォーム上のデータを取得する他のスキマーとは異なり、ここで使用されるスキマーは比較的単純で、Click2Govの支払いフォームでのみ機能します。難読化やアンチデバッグの手法は使用されていませんでした。スキマーは、支払いフォームのsubmitイベントをフックします。利用者がボタンをクリックして支払い情報を送信すると、スキマーは支払いフォーム内の選択された記入欄から情報を取得し、収集した情報をHTTP POSTリクエストを介して遠隔のサーバに直ちに送信します。

図2:Click2Gov決済ページにインジェクトされたクレジットカードスキマー
抽出情報 記入欄のID 抽出リクエストのスキーマ
クレジットカード番号 accountNumber accountNumber
クレジットカードのCVV番号 cvv2 cvv
クレジットカードの有効期限(年) expirationDate.year year
クレジットカードの有効期限(月) expirationDate.month month
クレジットカードの有効期限(日) expirationDate.date date
カード所有者の名前 firstName firstName
カード所有者のミドルネーム middleInitial middleInitial
カード所有者の姓 lastName lastName
連絡先1 contact.address1 address1
連絡先2 contact.address2 address2
連絡先住所(市) contact.city city
連絡先住所(州) contact.state State
連絡先住所(ZIPコード) contact.zip ZipCode

表1:抽出される情報の詳細

トレンドマイクロは、攻撃に使用された抽出サーバ2つを特定することに成功しました。どちらも、実際のJavaScriptスキマーと、収集データを受信するために使用される.JSPのファイルをホストしていました。サーバの1つは3つのサイトで使用され、もう1つのサーバは残りの5つのサイトで使用されていました。抽出サーバのホスト名が異なる以外は、使用される2つのスキマーは同一のものです。

図3:クレジットカードスキマーのスクリプト
図4:抽出リクエストの例
■攻撃の背景と帰属

Click2Govは、これまでにも度重なる侵害や攻撃に見舞われてきました。プラットフォーム開発者の「CentralSquare Technologies」は、さまざまなローカルでホストされているWebサイトのセキュリティ問題に関する声明を2018年に発表しました。その年の終わりには他のリサーチャが、Click2Govサイトから約30万件の記録が流出したことを報告しました。

2018年の別のレポートでも、Click2Govで構築されたWebサイトが攻撃者の標的となり、クレジットカード情報が窃取された類似ケースについて報告されています。2019年には別の漏えいが発見され、8都市のデータが地下市場で販売されていることが明らかになりました。

今回報告する攻撃と、以前の漏えい事例との関係については、調査結果が関連性を示していないため、現時点で明らかになっていません。唯一の関連は、今回の漏えいで影響を受けた都市のうち5つが2018年にも攻撃を受けており、 2つが2019年にも攻撃を受けている点です。

■被害に遭わないためには

Web上でのクレジットカードのスキミング、つまりEスキミング攻撃は、依然として電子商取引業者にとって大きな脅威です。被害を受けるのは、典型的な電子商取引(EC)サイトの利用者に限定されません。2019年には、学術機関ホテルチェーンが同様の攻撃の標的にされたことも確認しました。今回、攻撃者はさまざまな地方自治体のWebサイトを標的にしました。このことは、オンライン決済サイトの運営組織とその顧客の両方を保護するため、ポータルサイトのセキュリティ保護がいかに重要であるかを強調しています。

■トレンドマイクロの対策

次のトレンドマイクロのソリューションは、悪意のあるスクリプトをブロックし、不正なドメインへのアクセスを抑止することにより、ユーザおよびビジネスを保護します。

■侵入の痕跡(Indicators of Compromise、IoCs)

侵入の痕跡はこちらを参照してください。

参考記事:

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)