1つ買うと1つ無料のセールや購入特典、年末年始の割引とは異なり、デジタルスキミング攻撃によって盗まれた決済カードデータは、決して消えないオンライン商取引の汚点だ。
研究者らは今週、長期間にわたり継続しているアクティブなキャンペーンについて詳細な分析を公表した。このキャンペーンはECショップからカード番号を盗み取るもので、人気のWooCommerceプラットフォームを利用するオンラインショップに侵入するために設計された最近の攻撃スクリプトも含まれている。研究者らは別途、クラウドベースで人気のConnectPOS POS(販売時点情報管理)ソフトウェアについても警告を発し、同ソフトのコードリポジトリが公開状態で露出していたため、顧客がサプライチェーン攻撃のリスクにさらされていたとした。
デジタルスキミング攻撃はMagecart攻撃としても知られている。この名称は、MagentoのECソフトウェアに顧客が入力した決済カードデータを悪意あるスクリプトで「すくい取る」手法を先駆けたグループに由来する。こうした攻撃は現在、さまざまな種類のECソフトウェアを標的にしており、依然として広範に見られる。脅威インテリジェンス企業Recorded Futureの研究者によれば、2024年には11,000の異なるECサイトが被害に遭い、2023年から3倍に増加したという(参照:不正監視:Eスキマーと詐欺ECサイトは依然として被害を生む)。
サイバーセキュリティ企業Silent Pushは火曜日、2022年1月に始まったとみられるそのようなキャンペーンの一つを詳述した。それ以降、このキャンペーンは複数のECストアに感染し、顧客が決済しようとする際にカードデータを取得するスクリプトを仕込んできた。また、複数の研究者によって追跡されている。
Silent Pushの調査により、攻撃者が使用している攻撃スクリプトが明らかになった。これは、決済にStripeを利用するWooCommerceサイトからカードデータを盗むよう設計されている。強く難読化された攻撃者のJavaScriptは、American Express、Diners Club、Capital OneのDiscover、JCB、Mastercard、UnionPayといった決済取引プロバイダーに紐づくカードを検出して標的化するよう作られている。スクリプトは、顧客がカード情報を入力したときに起動する。
「その後スキマーはこの情報を使い、正しいカードブランドの画像で入力フィールドを自動的に適応させ、入力フォームをさらに正規のものに見せかける」とSilent Pushは述べた。入力データは攻撃者へ送られ、攻撃者は複数のドメインを使用している。これには、欧州連合が昨年制裁対象としたStark Industriesから取得したドメインも含まれる。
研究者らによれば、このスクリプトは正規のStripe決済フォームを抑制し、悪意ある代替フォームに置き換える。顧客が決済情報を入力すると、同一顧客に対して再実行されないよう変数を設定し、正規のStripe決済フォームを読み込み、正規フォームの「支払う」ボタンを自動クリックする。
顧客は正規フォームに入力していないためエラーメッセージが返り、研究者らはこれが「被害者が単に決済情報を誤って入力しただけのように見せる」と述べた。
被害者がこのような攻撃に気づくかどうかは不明だ。「技術に詳しくない被害者がこの攻撃を検知できる唯一の可能性は、支払いを試みた際にこのエラーに気づき、フォームに入力した後で自分の情報が消えているのを目にすることだ」と研究者らは述べた。
このキャンペーンがどのようにして被害者のWooCommerceプラットフォームに感染するのかは明らかではない。「現時点では、コードがどのように設置されたのかについての洞察はない。確定的な答えを得るには侵害されたサーバーのいずれかに関する情報が必要だが、我々はそれを持っていない」とSilent Pushの脅威インテリジェンス担当ディレクター、Kasey Best氏はInformation Security Media Groupに語った。
「侵害の大半は、Adobe Commerce、Magento、WordPressといった中核プラットフォームコードの未パッチ脆弱性、または脆弱なサードパーティ拡張機能によって引き起こされる」とSansecの主任セキュリティ研究者Daniel Sloof氏は述べた。
「Silent Pushの報告で説明されている脅威アクターは複数のプラットフォームを標的にしており、Adobe Commerce/Magentoに対してはCosmicStingとSessionReaperが最も顕著な感染ベクターだ」と同氏は述べた(参照:大規模小売ハッキングがAdobe CommerceとMagentoストアに影響)。
これら2つの脆弱性のうち、より最近発見されたSessionReaperは、2025年8月にAdobe CommerceおよびMagentoの全バージョンで発見されたバグを指し、CVE-2025-54236として追跡されている。これは顧客アカウントの乗っ取りやリモートでのコード実行に悪用可能だ。
SansecはSessionReaperを「Magento史上最も深刻な脆弱性の一つ」と表現し、2025年10月下旬時点で、パッチ公開から6週間が経過しても修正を適用したストアは38%にとどまっていたと指摘した。その時点で攻撃者は、自動化された攻撃で脆弱なストア全体の81%を探索していたという。
サプライチェーンリスク
専門家によれば、別の潜在的な感染ベクターとして(ただしはるかに稀だが)、攻撃者が開発者とそのコードベースを直接標的にしてサプライチェーン攻撃を実行するケースがある。もたらされるリスクは深刻で、単一の成功した攻撃で数百から数千の顧客が侵害され得る。
Sansecは月曜日、世界で12,000以上の組織が利用するクラウドベースのConnectPOS POSソフトウェアのGitHubコードリポジトリに関する新たなサプライチェーン攻撃リスクを警告した。同社は4年以上にわたりコードリポジトリを公開状態で露出させていたという。
ベトナム・ハノイに本社を置くConnectPOSの顧客には、インディアナ大学、台湾の多国籍テック企業Asus、そしてアパレル、美容用品、家具、食料品など幅広い分野の組織が含まれる。同社のソフトウェアはBigCommerce、Commercetools、Magento、NetSuite、Shopify、WooCommerceなど、さまざまなECプラットフォームと統合される。
Sansecは述べたところによると、ConnectPOSのPOSソフトウェアはGitHubのPersonal Access Token(PAT)を、2021年9月に初めて公開したパブリックなドキュメント内で露出させていた。研究者らが1月6日に問題を発見してConnectPOSに警告した後、ベンダーは同日中にトークンを失効させたという。
この露出は、ConnectPOSが顧客に製品機能へのアクセスを提供する方法に起因していた。Sansecによれば、2021年に「GitLabのデプロイトークンからGitHubのPAT認証へ移行した際、顧客がモジュールをダウンロードできるように、公開ドキュメントにアクセストークンを含めてしまった」という。
PATを読み取り専用アクセスに設定する代わりに、ConnectPOSは誤ってフルのrepoアクセスを付与する設定にしてしまい、ユーザーに59のリポジトリに対する完全な管理者レベルの制御を与えていた。これらは決済処理から在庫管理まであらゆるものをカバーしている」とSansecは述べた。
その結果、攻撃者はモジュールをトロイの木馬化し、悪意ある機能を導入するサプライチェーン攻撃を実行できた可能性がある。
この問題は、GitHubがシークレットスキャンと呼ばれる組み込み機能を提供しているにもかかわらず、長期間続いていた。この機能は、まさにこの種の問題の発生を検知・防止するために設計されている。有効化すると「APIキー、パスワード、トークン、その他のシークレットなどの機微情報が誤ってリポジトリに含まれることを検知し、防止するのに役立つ」とGitHubは述べている。
パブリックリポジトリではデフォルトで有効だが、ConnectPOSが使用していたようなプライベートリポジトリでは有料機能としてのみ利用可能で、実際には有効化されていなかったようだとSansecは述べた。
ConnectPOSは、顧客への通知を行ったか、改ざんの兆候を探すために全コードの全面監査を実施したか、またはシークレットスキャン機能を有効化したかについてのコメント要請に直ちには応じなかった。
「我々の見解では、ベンダー主導の監査は絶対的な最低条件だ。特に、4年以上という大きな露出期間を考えればなおさらだ」とSansecのSloof氏は述べた。
「それでも顧客は完全には確信できない。漏えいしたトークンはフルのrepoアクセスを付与していたため、攻撃者が一時的にリリースを改ざんし、それをデプロイさせた後、秘匿するために変更を元に戻すことも可能だった。そうした理由から、顧客自身も監査を実施することを強く推奨する」と同氏は述べた。
サプライチェーン攻撃は継続的な懸念であり、感染から数カ月、あるいは数年後に放たれることもある。
Sansecは昨年、オンラインストア500〜1,000店が、ベンダーのTigren、Magesolution、Meetanshiが開発した21のバックドア付きMagento拡張機能を実行するに至った経緯を詳述した。攻撃は、攻撃者が悪意あるロジックをソフトウェアに最初に導入してから6年後に発生した。このロジックはMagecart型のスクリプトを実行し、決済カード情報やその他の個人データを取得するよう設計されていた(参照:有効化されたMagentoバックドアが最大1,000のオンラインストアを直撃)。
翻訳元: https://www.databreachtoday.com/magecart-hits-continue-stripe-spoofing-supply-chain-risks-a-30507
