Magecart型のeスキミング攻撃に関する新たな縦断研究は、「発見=復旧」という前提を覆す。
スクリプトを削除すれば終わる一度きりのインシデントではなく、eスキミングは、以前侵害されたサイトに長期間残留し、しばしば新たな形で再来する、長命で姿を変える脅威として顕在化している。
研究者は1年にわたり、68か国にまたがる、過去に侵害されたeコマースサイト550件を追跡した。
結果は明白だ。eスキミングの持続は例外ではなく、常態である。初回発見から1年後でも、これらのサイトの18%が依然として感染したままで、つまり約6社に1社は真の復旧を達成できていなかった。
さらに深刻なのは、感染が継続していたサイトの57%が、元のスキマーではなく、新しい、または進化した攻撃経路で動作していた点である。これは、単なる清掃不備ではなく、能動的な適応と再侵害が起きていることを示している。
レポートは、その前提に異議を唱える。過去に侵害されたeコマースサイト550件を対象にした、1年にわたる縦断研究に基づく
さらに詳しく
アンチウイルス & マルウェア
コンピュータセキュリティ
Android OS
Webアプリ & オンラインツール
ハッキング & クラッキング
コンピュータハードウェア
並行して、当初被害者として特定されたサイトの16%は、その後オフラインになったか到達不能になっており、クライアントサイド攻撃を未解決のまま放置する事業者にとって憂慮すべきパターンである。
根本原因は構造的だ。eスキミングは完全にユーザーのブラウザ内で動作する一方、多くの防御(WAF、CSP、サーバー側スキャナー、コードレビュー)はネットワーク、サーバー、または静的資産に焦点を当てている。
eスキミングの戦術はどう進化しているのか
典型的な対処は目に見えるスキマーを除去するが、根底にある露出は手つかずのままだ。すなわち、実行時にファーストパーティおよびサードパーティのスクリプトが何をしているかについて、リアルタイムの可視性と制御が欠けている。
ブラウザが監視されない実行環境である限り、攻撃者は静かに持続し、横展開し、従来の制御が暗黙に信頼する新たなベクターから再侵入できる。
Source Defenseの研究は、約3,600件の既知のMagecart被害者という初期データセットから、アクティブサンプルを抽出した。
このうち、到達可能で稼働中のウェブサイト550件が、元の侵害から少なくとも1年が経過した後に分析され、すでにオフラインになっていたサイトは除外された。
各サイトは、クリーン(アクティブなスキマーなし)、感染(アクティブなスキミングコードあり)、またはオフラインに分類された。十分な是正期間がある稼働中の事業者のみに焦点を当てることで、本レポートは、短期的な清掃ではなく、組織が持続的な復旧を達成できているかどうかの現実的な見取り図を提示している。
地理的に見ても、この問題に国境はない。68か国のデータセットはほぼ全大陸に及び、米国が稼働中サイトの約3分の1を占め、英国は約9%である。
平均すると18%のサイトでeスキミングの持続が見られたが、顕著な外れ値もあった。スペインは持続率が23%と最も高く、ドイツは感染が4%にとどまり、比較的強固な是正規律またはクライアントサイドのセキュリティ制御を示唆している。
こうした差異があっても、パターンは一貫している。ブラウザ側の盲点が存在するところではどこでも、Magecartのオペレーターは成功する。
eスキミング攻撃の複雑性
このデータセットにおける持続は、ずさんなインシデント対応というより、攻撃者の革新性によるところが大きい。
感染していた98サイトのうち、43%は元のキャンペーンが依然として確認された一方、57%は再感染または進化(新たなコードパス、配信方法の変更、スクリプト配置場所の刷新など)を示した。
攻撃者は防御側の行動を観察し反応する。組織が1つの悪性スクリプトをブロックしても、核心となる露出を変えないままであれば、より強靭な手法で戻ってくるよう敵対者を事実上促してしまう。
この適応の最も明確な兆候の1つが、ファーストパーティとサードパーティのコード間の移動である。あるキャンペーンはサードパーティのスクリプトから始まり、後にファーストパーティのJavaScriptへ移行する。別のものはその流れを逆転させるか、挙動を維持したままインフラをローテーションするだけの場合もある。
さらに詳しく
マルウェア
ハッカー防御ツール
脆弱性評価ツール
おすすめスマートフォン
サイバーセキュリティ書籍
サイバーセキュリティ
サイバーセキュリティ
拡張機能
脅威インテリジェンス・プラットフォーム
ネットワークセキュリティ・アプライアンス
研究では、キャンペーンの12%が時間の経過とともにサードパーティからファーストパーティ実行へ移行し、コアとなるサイトロジックと信頼されたアプリケーション表面により深く埋め込まれていった。
部分的な是正の波が来るたびに1つの扉は閉じるが、攻撃者はさらに検知・除去が難しい侵入口へと押しやられる。
結論は避けられない。ブラウザ内で実行される脅威に対しては、時点的な清掃とサーバー中心のツールではもはや不十分である。
いま有効な防御には、継続的なクライアントサイド監視が必要だ。実行中のすべてのスクリプト(信頼されたものを含む)を観測し、危険な挙動をリアルタイムで検知し、決済データやその他の機微情報がスキミングまたは流出される前に、実行中に制御を強制できなければならない。
当社データでは、キャンペーンの12%が時間の経過とともにサードパーティからファーストパーティ実行へ移行し、コアとなるサイトロジックにより深く埋め込まれていった。
Source Defenseは、自社技術をこのギャップへの回答として位置づけている。ブラウザ内で直接動作することで、スクリプト挙動の実行時可視性を提供し、機微フィールドへの不正アクセスや偽の決済フォームを検知し、データ流出をブロックできる行動ベースの制御を適用して、清掃後のピボットを大幅に困難にする。
これにより、組織は断続的なインシデント対応から、クライアントサイド環境に対する継続的な制御へと移行できる。
さらに詳しく
情報セキュリティ
倫理的ハッキング認定
安全な通信アプリ
脅威インテリジェンス・プラットフォーム
デジタル・フォレンジックソフトウェア
情報セキュリティ(Infosec)
災害復旧ソリューション
情報セキュリティ
ネットワークセキュリティ・アプライアンス
サイバーセキュリティニュース・プラットフォーム
最終的に本研究は、eスキミングを技術的な厄介事から、戦略的な事業リスクへと捉え直す。以前攻撃を受けたサイトの相当数が、その後ウェブ上から消えていくという事実は、たとえeスキミングに起因すると断定できないとしても、厳しい警告である。
ブラウザが主要な取引面となる時代において、クライアントサイドの挙動に対する可視性はもはや任意ではない。「インシデント解決」を、真に持続する復旧へと変えるための基盤である。
翻訳元: https://gbhackers.com/eskimming-attacks/
