Silent Push新しいMagecartネットワークを発見：世界中のオンラインショッパーに混乱をもたらす

主な発見

• Silent Pushプリエンプティブサイバーディフェンスアナリストらが最近、「Magecart」という傘下の名称で知られる長期間の継続中のウェブスキマーキャンペーンに関連した広大なドメインネットワークを発見しました。
• 複数の世界的な決済ネットワークが現在ターゲットにされており、American Express、Diners Club、Discover、およびMastercardが含まれます。
• このウェブスキミングキャンペーンの最も可能性の高い被害者はオンラインショッパー、侵害されたeコマースストア、および支払いプロバイダーです。
• このキャンペーンは少なくとも2022年1月から活動しています。

エグゼクティブサマリー

当社と共有されたインテリジェンスを調査しているときに、当社のBulletproof Host Indicators Of Future Attack™ (IOFA™)フィードでも見つかった一連のインジケータから、当社のチームは長期間の継続中のクレジットカードスキミングキャンペーンに関連した膨大なドメインネットワークを発見しました。現在の調査結果は、このキャンペーンが2022年初頭からさかのぼって数年間活動していることを示唆しています。

このキャンペーンは、少なくとも6つの主要な決済ネットワークプロバイダーをターゲットにしたスクリプトを使用しています。American Express、Diners Club、Discover（Capital Oneの子会社）、JCB Co., Ltd.、Mastercard、およびUnionPayです。これらの決済プロバイダーのクライアントであるエンタープライズ組織が最も影響を受ける可能性があります。

このブログは、オンラインクレジットカードスキミング（「Magecart」と呼ばれるプラクティス）の概要と、当社のテクノロジーがキャンペーンのインフラストラクチャをいかに発見したかについて説明しています。運用セキュリティ（OpSec）上の懸念から、この特定のキャンペーンを追跡するために当社のアナリストが開発したすべての方法を開示することはできません。詳細が必要な場合は、当社の営業チームにお問い合わせください。

背景

ウェブスキマーとは何ですか？

ウェブスキミング攻撃（クレジットカードスキマー攻撃とも呼ばれます）は、JavaScriptなどの悪意のあるコードが正当なeコマースWebサイトまたは決済ポータルに注入され、チェックアウトプロセス中に顧客のクレジットカード情報およびその他の機密個人データを密かに傍受して盗むサイバー攻撃です。

これらの攻撃は通常、クライアント側で動作します。つまり、コードは被害者のブラウザで実行され、ユーザーとサイト所有者の両方にほぼ見えません。脅迫行為者の目標は、不正な取引、身元盗用、またはダークウェブマーケットプレイスでの再販のためにカード支払い詳細を収集することであり、最終的に身元詐欺および/または銀行詐欺につながります。これは多くの場合、脅迫行為者が実際の略奪に関与しているか、単にデータを再販することに関心があるかによって異なります。

前述のように、このタイプのオンラインクレジットカード盗難を指すために使用される一般的な用語は「Magecart」です。ただし、最初のうち、Magecartという用語は、Magentoというeコマースソフトウェアを使用したウェブショップをターゲットにしたサイバー犯罪グループの連合を指していました。これらの攻撃が増殖し、他のeコマース製品に対して多様化するにつれて、「Magecart」という名前は、Magentoのeコマースソフトウェアをターゲットにしている特定の行為者を示すものから、ほぼすべてのウェブベースのクレジットカードスキミング、ウェブスキミング、およびフォームジャッキング攻撃の一般的なラベルにシフトしました。関係している脅迫行為グループまたはテクノロジーに関係なく。

最近では、「Magecart」はオンライントランザクション中にウェブフォームから機密ユーザーデータを密かに流出させるクライアント側の攻撃のクラス全体を説明するために使用される受け入れられた用語であり、この造語の起源となった元のグループからの活動とその後のすべてのコピーキャットグループを含みます。

ウェブスキマー攻撃のプロセス：ステップバイステップ

Magecart Unmasked Webinar: 2026年2月3日

Silent Pushの脅威インテリジェンスウェビナーにご参加ください。ここでは、隠されたMagecart活動の識別、オンライントランザクションからデータを盗むクライアント側の脅威の撃退、および洗練されたウェブスキミングネットワークから組織を保護するための手順について説明します。

当社のグローバルコミュニティをサポートするために、3つのセッションを開催します。AMER（午後1時ET）、EMEA（正午CET）、およびAPJ（午前10時SGT）。

当社の脅威チームは何を観察しましたか？

私たちが開始した指標の1つは、cdn-cookie[.]comで、これはASN 209847上のIPアドレスを指していました。最近取得されたばかりのヨーロッパの制裁を受けた事業体、PQ.Hosting/Stark Industries（THE.Hosting/WorkTitans B.V.としても知られています）により。

初期分析中に、当社のチームは、このドメインが高度に難読化されたスクリプトをロードするいくつかのURLをホストしていることを判断しました。例えば：

cdn-cookie[.]com/recorder.js

スクリプトと関連ドメインのさらなる分析により、より広範な図が明らかになりました：2022年頃からの複数の継続中の感染を伴う長期的なウェブスキミングキャンペーン。

当社は、現在のキャンペーンのインフラストラクチャを超えて及ぶ追加の技術的フィンガープリントを特定しました。ただし、OpSecの懸念と、脅迫行為者がその展開で行っている間違いを強調したくないという理由から、これらの詳細は企業クライアントと法執行機関にのみ提供されます。詳細情報が必要な場合、または当社の専門家との説明会を予約したい場合は、当社の営業チームにお問い合わせください。

悪意のあるインフラストラクチャの発見

ウェブスキミングコードとその動作を調査する前に、Silent Pushプラットフォームを使用して、このキャンペーンに関連する追加の指標と侵害されたWebサイトを識別する方法をまず強調しましょう。

指標自体の単純な検索に加えて、最初に実行されるクエリの1つは、特定の指標が当社のデータベース内の他のWebサイトのコンテキストで読み込まれたかどうかを確認することが多いです。これを実現するために、当社は独自のWeb Resourcesデータセット（Silent PushがスキャンしたすべてのWebサイトによってロードされるすべてのリソースに関するデータを含む）を利用します。

以下のクエリは、初期シードドメインcdn-cookie[.]comのためのこれを示します。

Web Search resource_hostname + hostnameクエリリンク

datasource = ["webresources"] AND resource_hostname = "cdn-cookie.com" AND hostname != "cdn-cookie.com" AND hostname != "www.cdn-cookie.com"

以下の結果に注目すると、「hostname」フィールドには多くの無関係に見えるドメインが含まれています。Web Scannerがこのドメインをいくつかの異なるWebサイトのリソースとしてキャッチしたことがわかります。この場合、返されたドメインは実際に、この特定のインジェクタードメインを埋め込んでいる侵害されたドメインです。

また注目に値するのは、このドメインから読み込まれた以下のファイルです：

• /1-197056a9.js
• /763825
• /cplnfwtlrkb.js
• /tab-gtm.js

これらのファイルのいずれかを開くと、前の「recorder.js」ファイルのように、難読化されたコードが表示されます。

当社のチームは、これらの外部ファイルをロードしていたページを調査しました。cdn-cookie[.]comからコードをロードしていることをログしたページのうち、3つのうち3つが明らかにウェブショップであることはすぐに明らかになりました。同時に、3つのウェブショップのうちの1つは現在、訪問者に最近の支払いシステムの問題について知らせるかなり興味深いメッセージを提示しており、これは我々が正しい道にいたことをさらに確認しました。

ウェブショップは、特にここに見られるようにクレジットカードスキミング攻撃に特に傷つきやすく、当社のクエリからの4つのWebサイトがすべて異なるベンダーからのもの、様々なインフラストラクチャにあり、他の国にあり、それぞれが既知の防弾ホストでホストされているドメインから奇妙な難読化されたコードをロードしています。

継続中の感染を分析する

当社の調査の次のステップは、（執筆時点での）積極的に侵害されたWebサイトの調査でした：hxxps[:]//colunexshop[.]com/。当社のWeb Resourcesデータでそれを引き出し、hostnameフィールドとresource_hostnameを使用してそれへの参照を確認すると、結果は、このサイトが以下のファイルを介して以前に発見された悪意のあるドメインと連絡していることが明らかになりました：
「1-97056a9[.]js」

hxxps[:]//cdn-cookie[.]com/1-197056a9.js

Web Resources Searchクエリリンク

datasource = [“webresources”] AND resource_hostname = “*cdn-cookie[.]com*” AND hostname != “cdn-cookie[.]com”

安全な環境でWebブラウザにリンクを開くと、以下のスクリプトが返されました：

このページは難読化されたJavaScriptコードを表示し、スクリプトの分析は以下に提供されています。ただし、詳細に進む前に、まず感染したWebサイトが問題のコードをどのようにロードするかを調べたいと思います。これは、Webデベロッパーコンソールを介してWebサイトを分析することにより実行できます。

前述のように、ウェブスキマーは正当なeコマースWebサイトの支払いプロセスを操作してクレジットカード詳細を盗むことを目的としています。このため、それらの多くは、チェックアウトページにアクセスして支払いプロセスが始まるときにのみ、それらの注入プロセスを開始します。

ウェブスキマーの開始点がどこにあるかを特定するには、訪問者が通常、個人の詳細と希望する支払い方法を入力するよう求められる「チェックアウト」ページに到達するまで、アイテムを購入する通常のステップを進むことができます。このプロセスの正確なレイアウトはウェブショップごとに異なります。ただし、colunexshop[.]comのチェックアウトページを開くと、前述のファイル「1-97056a9[.]js」への予想されるウェブリクエストを確認できます：

「initiator」リンクをクリックすると、当社のコンソールでウェブリクエストをトリガーしたファイルを確認できます。それはさらに、より大きなファイル内のリクエストをトリガーしたコードのピースにフォーカスします。

colunexshop[.]comの場合、リクエストの開始はファイル内の小さなコード片によって実行されます：

hxxps[:]//colunexshop[.]com/finalizar-compra/?doing_wp_cron=1757931326.231261049383544921875

このコードはFacebook関連のコード読み込みスクリプトを模倣しようとします。ただし、既知のFacebookスクリプトが長い文字列からの文字連結のリストを使用していないため、これを偽造するのは不十分です。難読化されたコードセグメントは、3つの引数で呼ばれる自己実行関数を作成します。これらの引数は次のとおりです：

進めていくと、この「e」引数はスクリプト全体を通じて定期的に使用されます。これは、コードが文字列を導出するために使用するアルファベットとして機能します。たとえば、e[2] = a、e[8] = d、e[10] = E等です。したがって、これを使用して文字列を難読化解除し、以下のコードを導出できます（明確にするためにコメントが追加され、最後の文字列は簡潔にするために短縮されています）：

このコードは実際のFacebookfbevents[.]jsファイルをロードしません。代わりに、base64で難読化されたURLに到達し、返されたコードを注入します。それは以下の場所にあるスクリプトで見ることができます：

hxxps[:]//cdn-cookie[.]com/1-197056a9.js

このコードは高度に難読化されており、目的の難読化されたJavaScriptを介してロードされるため、ここで見られる赤い旗は、正しい方向に向かっていることを知るのに十分です。

このコードは、WebsiteにおけるJavaScriptとCSSをレンダリング時に最適な時間に読み込むためのアクションフックメカニズムであるWordPressの「wp_enqueue_scripts」機能を介してロードされます。

add_action('wp_enqueue_scripts', function () { echo '<code here>'; });

アクションフックは通常、ページ読み込み時の最適な時間に実行され、すべての関連スクリプトとスタイルが正しい順序で含まれ、適切な依存関係管理があり、テーマとプラグイン間の競合を防ぐことが意図されています。

ただし、これは通常、ここで行われているように、JavaScriptコードを直接エコーすることによって実行されません。攻撃者によるコードの不適切な使用により、実際に感染したWebサイトで表示されるバグが発生し、下の赤いボックスに示されているようにページの下部にそのセグメントが明らかになります：

このバグにもかかわらず、コード全体は、この攻撃者がWordPressの内部機能に高度な知識を持っており、あまり知られていない機能さえも攻撃チェーンに統合していることを示唆しています。

スキマー分析

高度に難読化されているのに加えて、コードは文字列連結、配列ベースの文字列ストレージ、自己実行の匿名関数、および他のエンコーディングを含む複数のテクニックを採用しています。

コードの難読化解除により、予想通り、クレジットカードスキマーを実装する約600行のJavaScriptコードに遭遇します。コードは、その後、より大きな攻撃に関連する機能を持つ複数の関数に分割されます。

以下は、初期実行から被害者資格情報盗難の最終目標までのステップバイステップのウォークスルーです：

注入はDOMツリーの変更を検出する能力を提供するJavaScript API であるMutationObserverをセットアップすることで実行を開始し、WebページのDOMが変更されるたびに関数「a()」を実行します。

DOMはWebページ上のすべてのHTML要素のツリーのような表現であり、ブラウザはページをロードするときに作成します。これは本質的に、各HTMLタグが、JavaScriptによってアクセス、変更、または監視できる「ノード」になるライブで対話型のマップです。ユーザーがページと対話する（クリック、入力、またはコンテンツの読み込みによって）と、DOMはリアルタイムで変更します。

このMutationObserverは、Webサイトへのあらゆる変更がウェブスキマーが再実行を試みることを保証します。

オブザーバーを開始した後、関数「a()」は独立した初期実行試行として説明できるものの単一の時間に実行されます。

コードは、現在のDOMで要素「wpadminbar」のチェックを実行し続け、WordPressの管理バーを探します。これは、適切な権限を持つログイン管理者またはユーザーがサイトを表示しているときにWordPressのWebサイトの上部に表示される水平ツールバーです。投稿の編集、ユーザー管理、ダッシュボードへのアクセス、サイト統計の表示などの標準的なWordPress機能へのクイックアクセスを提供し、管理エリアへのナビゲーションを必要とせずに。

wpadminbar要素が現在のDOMで定義されている場合、コードは現在のDOMからそれ自体を完全に削除します。注入されたコードを削除し、MutationObserverを終了することで実行されます。これは、Webサイト管理者の詮索深い目から逃れるために行われ、マルウェアの生存率を高めます。

以下の画像は、DOMのあらゆる変更の時点および最初に呼ばれる「a()」関数を示します。

この関数は、Webサイトがスキマーを実行する準備ができているかどうかをチェックするように設計されています。最初に、WooCommerceの「BlockUI」要素を探すことによってページが完全にロードされているかどうかをチェックします。BlockUI要素はネイティブなWooCommerceオーバーレイ（通常は「お待ちください…」メッセージを含む半透明のdiv）で、WooCommerceがチェックアウトデータを処理する、支払い方法をロード、またはカートコンテンツを更新しているときに表示されます。ページが正常にロードされるまでユーザーのインタラクションをブロックすることを目的としています。

blockUIクラスを持つ要素の存在は、DOMがWooCommerceがバックグラウンド操作を実行しているままであることを示しています。スキマーコードは、再実行前に1000 ms（または1秒）待機します。

blockUIチェックが正常に通過すると、コードは、Webサイトで「Stripe」支払い方法が選択されているかどうかをチェックします。注目すべきことに、これはスキマーがそれが注入されたWebショップのタイプのために特別に設計されたことを示しています。すべてのWooCommerceWebサイトがStripeを使用しているわけではないため。

Stripeが選択されている場合、スキマーはそれが作成する偽の支払いフォームが既にロードされているかどうかをチェックし、これはスキマーの以前の実行がすでにページを変更したことを示すでしょう。また、WebサイトのlocalStorageに「wc_cart_hash」要素があるかどうかをチェックします。

マルウェアはlocalStorage変数「wc_cart_hash」を使用して、それがすでに被害者を正常にスキミングしたかどうかを示します。それは成功したクレジットカード流出のために「true」に設定され、再実行防止メジャーとして機能します。

Stripeフォームがまだ注入されていない場合、訪問者がStripeを支払い方法として選択していない場合、またはエラーが発生した場合、マルウェアは「a()」を500 msごとに再実行します。

実際のウェブスキマー実行は関数「i()」で開始されます。この関数は500行以上のコードを超えるため、いくつかのステップに分けて分割します。

「i」関数は最初に「wc-stripe-form」の存在を再度チェックします。存在しませんが「wc-stripe-upe-form」が存在する場合、これは正当なStripe「Universal Payment Elements」フォームがロードされたことを意味します。

この場合、スキマーが動作します。正当なStripe支払いフォームを非表示にして、そのstyle.display変数を「none」に設定することを確認します。その後、スキマーは正当に見える変数名、タイトル、スタイルなどで偽のStripe支払いフォームをレンダリングする悪意のあるiframeを作成します。iframeはStripe支払い方法の正当なコンテナに追加されます。

その後、コードはWebサイトのサイズの変更への変更にレスポンシブなiframeを作成する機能を追加することにより続行され、その「正当な」ルックアンドフィールをさらに強化します。

次に、iframeを開き、完全な偽のStripe支払いフォームをそこに書き込みます。この特定の支払いフォームはポルトガル語です。侵害されたWebサイトと同じ言語です。HTMLフォームには、ID「cardnumber-Input」、「expiry-Input」、および「cvc-Input」を持つ3つの入力フィールドが含まれています。

この時点で、スキマーは実際の支払いフォームを独自の悪意のある支払いフォームで効果的に置き換えました。前のコードセクションがすでに示しているように、ID「wc-stripe-form」があります。その後、前の「a()」関数のすべての再実行は、偽のフォームが既に存在するため失敗します。

偽のフォームが正常に注入されると、スキマーはその支払いフォームが機能的に見えるようにロジックを定義します。これには、入力クレジットカード番号で「カードブランド」検出用のスクリプトベースのチェックを追加することが含まれます。

• Mastercard
• American Express
• JCB Co., Ltd.
• Diners Club
• Discover
• UnionPay

注：ここにリストされている企業は、支払い取引プロバイダー自体です。これは、スキマーがローカル銀行または支払いカードプロバイダーにブランド化された場合でも、グローバル全体で発行されるほぼすべてのクレジットカードをカバーしている可能性が高いことを意味しています（ソース：The Motley Fool）

その後、スキマーはこの情報を使用して、入力フィールドを正しいカードブランドのイメージで自動的に適応させ、入力フォームがさらに正当に見えるようにします。以下の画像は、Mastercardとしてシンプルに見えた場合の変更を示しています。

• 入力された有効期限日の自動フォーマット
• カードのブランドに従って入力されたクレジットカード番号の自動フォーマット
  • American Express：4-6-4と4桁のCVC
  • Diners Club：4-6-4
  • ほとんどの他のカード：4-4-4-4
• フィールドがフォーカスを失った場合、入力された詳細が無効の場合、赤色での自動エラーハイライト。
  • クレジットカード番号の有効性を確認することで、それが認識されたブランドに関連付けられていること、不明なブランドではなく、13文字以上の長さを持っていることを確認してください。
  • 入力された日付が有効であることを確認することで、その年が過去ではなく、少なくとも5文字長で、「/」セパレータを持ち、1から12の間の月が含まれていることを確認します。
  • CVCは少なくとも1文字の長さ

これらのチェックは、Luhnアルゴリズムのようなより高度なものと比較して比較的単純です。

スタイルと検証機能は、EventListenersを介して3つの入力フィールドに追加されます。

この手順の後、ウェブスキマーはチェックアウトページのすべての入力フォームを監視します。2つの状態変数「w」と「h」を使用して、少なくとも2文字がある限り、部分的な入力データさえも保存します。

盗まれたデータはクレジットカード詳細に限定されていません。Webサイト上のすべての入力要素が収集されます。名前、住所、配送先住所フィールドを含みます。

データは、入力フィールドのIDが「キー」を提供するキーと値のペアとして保存され、入力された値が対応する値になります。

被害者がフォームに記入した後、「w」の正しくフォーマットされた値は次のようになります：

w = {
"billing_first_name": "John",
"billing_last_name": "Doe",
"billing_email": "[email protected]",
"billing_phone": "555-1234",
"billing_address_1": "123 Main St",
// ... etc
}

重複したコンテンツは「h」値にあります。

「w」値は、作成されて様々な値で満たされた後は使用されません。その理由は不明ですが、「w」が前のバージョンから残された単なるコード成果物である可能性があります。

一方、「h」値は流出プロセスにとって重要です。被害者がフォーム入力プロセス全体中に動的に満たされます。被害者が支払いデータフォームに記入している間、スキマーはレベルをハイジャックしました：「Place Order」ボタンなど。

これの関連コードは次のように開始されます：

コードは、クリックイベントに反応するボタンにEventListenerを追加するように設計されています。このイベントは、被害者がStripe支払い情報を含むWebフォーム全体の記入を完了し、注文を送信したいという同等です。クリックすると、コードが実行され、各チェックアウトフォームの値をフィールドごとに1つずつ新しい変数セットに保存します。

最初に、フィールドの値が、動的データストレージ機能によって以前にキャプチャされた「w」と「h」変数に保存されるデータ格納機能によって以前にキャプチャされたかどうかをチェックすることでこれを実行します。この場合、「h」変数に保存されたデータは、クエリされたキーに使用されます。

動的データパーサーが特定のキーと値のペアのクエリの保存に失敗したと仮定します。その場合、コードは次に、「getElementById()」関数を介してそれに直接アクセスすることで、フィールドに現在保存されている値を使用するようにフォールバックします。

偽のStripe支払いフォームに入力された支払いデータ値に対してより徹底的なチェックが実行されます。ここに示されています：

このコードは、ローカルストレージ変数wc_cart_hashをチェックすることにより、現在の被害者に対する以前のスキミング実行がないことを明示的に確認しています。

その後、ハイジャックされたフォームのデフォルト機能を防止し、3つのクレジットカードデータ入力フィールドのいずれかが空ではないことを保証します。

フィールドのいずれかが空の場合、空のフィールドは、以前のチェックが入力されたカード情報がデータチェックに合格しなかった場合に適用されるのと同じ赤いエラースタイルをスローするように変更されます。これは、被害者が欠落しているデータの問題を修正するように促します。

これらのチェックが通過すると、スキミングコードは収集されたデータを流出準備することで、以前に収集されたすべてのデータを含むデータオブジェクトを作成します。

この例を次に示します：

流出前に収集されたデータの一部が改革されます。たとえば、請求フォームの名前と姓は「」の周りで結合され、被害者の「フルネーム」にスペースを作成します。

データ構造が作成されると、スキマーは実際の流出に移動します。

作成されたデータオブジェクトが、ハードコードされたキー「777」を使用してJSON形式、XOR暗号化、およびBase64エンコードされていることを確認することで開始されます。

その後、スキマーは次のURLを介して流出サーバーへのHTTP POSTリクエストを送信します：

hxxps[:]//lasorie[.]com/api/add

このURLはbase64エンコードされたデータ文字列であり、本文として「data=」が付加されます。

このリクエストが送信されると、スキマーはそれが以前に作成した偽の支払いフォームを削除して、現在のチェックアウトページから自身をクリアします。

その後、正当なStripe入力フォームを復元し、その表示スタイルを「block」に変更します。最後に、localStorage変数「wc_cart_hash」を「true」に設定し、現在の被害者に対してスキマーが再度実行されるのを防ぎます。最後に、実際のチェックアウトボタンの「クリック」をシミュレートして、実際の支払いプロセスを開始します。

重要な注：被害者が記入した偽のフォームにクレジットカード詳細を入力したため、スキマーが最初にそれを非表示にして実際のStripe支払いフォームではなく、支払いページはエラーを表示します。これは、被害者が単に支払いの詳細を誤って入力したかのように見えます。

ほとんどの場合、オンラインショッパーは、彼らがちょうど被害者であることに気づいていません。代わりに、彼らはミスを犯したと仮定し、その後、彼らの認証情報を再度入力し、通常通り進める。その後、第2の支払い試行は、元の善良な支払いフォームと対話するため、正常に処理されます。

非技術的な被害者がこの攻撃を検出する唯一のチャンスは、支払うときにこのエラーに気づき、フォームを埋めた後、その情報が消えたことを見ることでしょう。

この有効性は、セキュリティ研究者Mikhail Kasimovによって共有されたワークによって、さらに強化されます。彼は3年以上前にMagecart活動に複数の古いドメインを属しており、脅迫行為者の永続的な力を実証しています。

Indicators Of Future Attack™ (IOFA)™

以下は、Magecartネットワークについて当社のチームによって収集された指標のサンプルです。

• cdn-cookie[.]com
• lasorie[.]com

緩和

ウェブスキマーキャンペーンに対する防御措置の実施

ベンダーと消費者の両方がウェブスキマーキャンペーンから保護するのを支援するために取ることができるいくつかの防御措置があります。

ベンダーの防御措置

• コンテンツセキュリティポリシーを実装して、特にJavaScriptを含む外部リソースの読み込みを制限し、悪意のあるコード注入のリスクを軽減します。
• Payment Card Industry Data Security Standardの（PCI DSS）要件に準拠します。PCI DSSの標準に従うことは、カード所有者データと認証データの安全な保存、処理、および送信を確保するのに役立ちます。
• システムを最新に保つ。コンテンツ管理システム（CMS）プラットフォーム、プラグイン、セキュリティパッチを含むソフトウェアコンポーネントを定期的に維持して、脅迫行為者が悪用する可能性のある脆弱性を最小化します。
• 強力なアクセス制御を実装する。管理アカウント用の複雑で一意の認証情報を使用し、多要素認証を有効にして、不正なアクセスを防止します。
• ユーザーの視点からテストする。Webサイト管理者は、ブラウザの匿名/プライベートモードを使用するか、ブラウザキャッシュと履歴をクリアした後に定期的にサイトを確認する必要があります。このプラクティスは、多くのウェブ注入ベースの脅威がCookieを通じて管理ユーザーを識別し、意図的に自分の存在で悪意のあるコードを実行するのを避ける検出メカニズムを採用しているため不可欠です。管理認証情報またはキャッシュされたデータなしでサイトを表示することで、管理者は、そうでなければ隠れたままである脅威を検出できます。

消費者のための防御措置

• 信頼できるプラットフォームで買い物をする：セキュリティの実績のある確立された評判のあるeコマースWebサイトを選択します。
• オファーを慎重に評価する：過度に割り引かれたり、非現実的に見えるディールに注意してください。これらは詐欺的なサイトまたは悪意のあるベンダーを示す可能性があります。オファーが真実には聞こえるには良すぎる場合、彼らはおそらくそうです。
• 財政活動を監視する：銀行およびクレジットカードの声明を定期的にレビューして、不正な取引を迅速に検出します。
• チェックアウト異常に注意してください：支払いページがカード詳細を入力した後、予期せずエラーを表示する場合は、トランザクションを放棄し、疑わしい問題を報告することを検討してください。
• セキュリティツールを活用する：既知の悪意のあるドメインとスクリプトをブロックするブラウザまたはエンドポイントセキュリティソリューションを使用して、オンラインセーフティを強化します。

プリエンプティブサイバー防御の世界にさらに掘り下げる準備はできていますか？今日、無料のSilent Pushコミュニティエディションで当社のテクノロジーを試してください。

Magecartキャンペーンの追跡を続ける

当社のチームは、2026年を通じて提供される難読化とスキマーバリアントの理解を拡大しながら、Magecartキャンペーンを追跡し続けます。

Magecartが、オンラインストアとその顧客の両方に世界中で積極的な脅威であり続けると考えており、このマルチ年キャンペーンが無期限に継続することを期待しています。

このレポートの発見に関するあなたまたはあなたの組織に情報がある場合、私たちはあなたから聞いてもらいたいです。