最近クレジットカードを使ってオンラインで買い物をしたなら、あなたは大規模で隠密なサイバー攻撃の標的になっていた可能性があります。Silent Pushのセキュリティ研究者は、Magecartに特化した悪意あるドメインの広範なネットワークを特定しました。Magecartとは、特定の種類のオンラインクレジットカード窃取と、それを実行するさまざまなグループを指す用語です。
Hackread.comと共有された報告書で同チームは、この特定のキャンペーンが少なくとも2022年1月以降、密かに活動してきたことを明らかにしました。攻撃の範囲は不穏なほど広く、Mastercard、American Express、Discover、Diners Club、JCB、UnionPayを含む、ほぼすべての主要決済ネットワークの利用者が標的になっています。
目の前に潜む罠
このネットワークが非常に危険なのは、周囲に溶け込む能力にあります。攻撃者は無害に聞こえるドメイン上でスクリプトをホストします。例えば、特定のサイトcdn-cookie.comは、現在欧州の制裁対象となっている企業PQ.Hosting(別名Stark Industries)のサーバー上で見つかりました。
Silent Pushの研究者によると、このコードは実際に店舗を運営する人々の目を欺くほど巧妙です。スクリプトが、サイト所有者がログインしていると表示されるツールバーであるWordPressの管理バーを検知すると、発見を避けるために即座に自己削除します。
研究者は、2026年1月13日に公開されたブログ投稿で、「これはウェブサイト管理者の詮索する目を回避し、マルウェアの生存確率を高めるために行われる」と述べています。
二重入力のトリック
この詐欺の中核は心理的な欺瞞に基づいています。通常の買い物客が支払いに進むと、マルウェアは本物の決済ボックスを隠し、見た目がまったく同じ偽のものに置き換えます。さらに、使用しているカードの種類まで認識し、例えばMastercardの番号を入力すると、小さなMastercardロゴが表示されてフォームが正規のものに見えるようにします。
「注文する」をクリックすると、ハッカーは氏名、住所、カード番号の数字を盗み取ります。疑念を抱かせないために、スクリプトはすぐに本物の決済フォームを戻し、エラーメッセージを表示します。多くの人は単なる入力ミスだと思い、本物のフォームに情報を再入力し、購入は成立します。あなたは荷物を受け取りますが、盗人はすでにあなたのデータを手にしています。
身を守る方法
これは自分のウェブブラウザ内で起きるため、一般ユーザーが見抜くのはほぼ不可能である点に注意が必要です。ただし、小さな危険信号はあります。例えば、不審なエラーの後に突然支払い情報の再入力を求められたり、2回目にフォームの見た目がわずかに違っていたりする場合、スキマーの兆候かもしれません。
Silent Pushは、店舗運営者はページ上で実行を許可するスクリプトを厳格に管理し、一歩先を行く必要があると提言しています。私たち利用者にとっては、銀行明細を注意深く確認し続けることが、こうした見えないスキマーに対する最善の防御策です。
翻訳元: https://hackread.com/magecart-targets-all-credit-cards-users/
