クレジットカード窃取キャンペーン、Stripeを悪用して盗んだ決済情報を保管

新たなMagecartキャンペーンが、StripeのAPIインフラをクレジットカード窃取ペイロードのホスティングと、チェックアウトページから流出させたデータの保管に悪用していることが判明しました。

今回の一連の悪意ある活動はすべて、オンラインストアが無条件に信頼しているGoogleタグマネージャーとStripeのドメイン（googletagmanager.comとapi.stripe.com）を経由しています。

この新しいマルウェアファミリーを発見したのは、Eコマースセキュリティ企業Sansecの研究者たちです。悪意のあるコードはGoogleタグマネージャー（GTM）コンテナから読み込まれ、そのコンテナを読み込むすべてのページ上で実行されることが確認されています。

「ペイロードと盗まれたカード情報はいずれもapi.stripe.comを経由します。ストア側はデフォルトでこのドメインを許可しているため、スキマーはコンテンツセキュリティポリシーのルールや、未知のスキマードメインへのトラフィックを本来であれば検知するはずのネットワークフィルターをすり抜けてしまいます」とSansecは述べています。

GTMは、サイトのソースコードを直接変更することなく、アナリティクスや広告、トラッキングに使用するスクリプトをウェブサイト管理者が追加・管理できるシステムです。

Stripeは、オンラインストアがクレジットカードの受付、顧客注文の管理、請求処理を行うために広く利用されている決済処理プラットフォームです。

Sansecによると、悪意のあるコードは正規のものに見せかけたGTMコンテナに埋め込まれており、購入者がチェックアウトページに到達すると起動し、特定の顧客レコード（今回の場合は「cus_TfFjAAZQNOYENR」）に対してStripeのAPIへのクエリを発行します。

レコードのメタデータフィールドからJavaScriptコードを読み取り、再構築した上でnew Function()を使って実行する仕組みになっています。

このカードスキマーはMagento/Adobe Commerceのチェックアウトページを標的とし、決済データ（クレジットカード番号、有効期限、CVVコード、顧客名）のほか、請求先住所、メールアドレス、電話番号の窃取を試みます。

盗んだデータは1つの文字列に結合され、XOR演算によって難読化された後、即座に外部へ送信するのではなくローカルに保存されます。

データの取り出しは別のルーティンが担います。このルーティンはページ読み込み直後に実行され、その後も1分ごとに繰り返し動作します。データの塊を半分に分割してStripeの新規顧客オブジェクトを作成し、盗んだデータをそのメタデータフィールドに格納します。

盗まれた決済カード情報は1件ごとに攻撃者のStripeアカウント内で偽の顧客レコードとして登録され、Stripeが盗難データのストレージバックエンドとして機能する構造になっています。

データがコピーされると、攻撃の痕跡を消し重複アップロードを防ぐためにローカルファイルが削除されます。

Sansecはまた、Stripeの代わりにGoogle Firestoreを使用した攻撃の亜種も発見しています。Google Firestoreはデータの保存とリアルタイム取得に対応したクラウドデータベースサービスです。

この亜種のキャンペーンでは、ペイロードはbraintree-payment-appというプロジェクト内のtracking/captchaという名前のFirestoreドキュメントから取得されます。盗まれたデータは別のlocalStorageキー（_d_data_customer_）に保存されます。

ドキュメントとプロジェクトの名称は、マルウェアが正規の決済・ボット対策トラフィックに紛れ込めるよう巧妙に設定されています。

スキマーを含むStripe顧客レコードは2025年12月24日に作成されたと報告されており、少なくともその日付から攻撃が行われていた可能性が示唆されています。

利用者は使い捨てのバーチャルカードに利用限度額を設定することで、こうしたリスクから身を守ることができます。