JC3では、警察、株式会社ラック、トレンドマイクロ株式会社その他の会員企業との連携により、ECサイトを改ざんして不正スクリプトを読み込ませることで、不正にクレジットカード情報等を窃取する手口を確認しました。これはWebスキミングと呼ばれる手口の一種です。利用者は改ざんされたECサイトにおいて商品の購入手続き等を行った場合、その間に入力したクレジットカード情報等が窃取されてしまいます。

確認されたWebスキミング

一連の流れについて、JC3では次のとおり推定しています。

①改ざん
攻撃者はクレジットカード情報等を窃取する不正スクリプトを用意し、ECサイトを何らかの方法で当該スクリプトを参照させる（読み込ませる）ように改ざんする。

②閲覧・購入
利用者は改ざんに気が付くことなくECサイトにおいて商品の閲覧や購入等を行える。

③不正スクリプト読込
②と同時に、利用者側の環境に不正スクリプトが読み込まれてしまい、利用者がECサイトの画面（例：ログイン画面、会員登録画面、決済画面）で入力した情報が窃取される。

④購入時、カード情報等を送信
利用者が決済画面で商品購入（注文ボタンを押下）すると、正常に注文が完了するとともに、③で収集されていた各種情報が攻撃者側へ送信される。

不正スクリプトの特徴

被害のあったECサイトでは、不正スクリプトを参照するようにHTMLファイルが改ざんされていました。不正スクリプトは、著名なJavaScriptのライブラリ（jQuery）を偽装したファイル名となっており、HTMLファイルを確認しても、一見すると改ざんに気が付かない可能性があります。

不正スクリプトはJavaScriptで記述されているものですが、難読化が施されていました。不正スクリプトの機能は、ログイン画面、会員登録画面、決済画面等に入力された情報（ID、パスワード、生年月日、クレジットカード情報等）を、攻撃者のサーバへ送信するものと推定されます。改ざんされたECサイトを、利用者がブラウザで閲覧しても異変に気が付くことは困難です。このため、ECサイト側での脆弱性対策等、情報セキュリティ対策の強化が求められます。

被害に遭わないために

• ECサイト運営者向け
  • ECサイトが改ざんされる主な原因とその対策は次のとおりです。

    原因	対策
    サイトの管理者用アカウントを不正に利用された （推測されやすいパスワードを設定していたため）	推測されにくいパスワードを設定する 管理画面へのアクセス制限を行う
    コンテンツ管理システムやOS（基本ソフト）等の脆弱性を攻撃されて侵入された	脆弱性を解消する （ソフトウェアをアップデートする）

  • ECサイトに意図しないスクリプト等の記述を発見した場合は、改ざんされている可能性が高いと考えられるため、直ちに公開を中止して原因特定等を行う。その際、バックドアが仕掛けられている可能性にも注意する。
  •  ECサイトの構築を外注する際は情報セキュリティ対策を含めた契約とする。運用開始後の保守契約内容や、インシデント発生時の体制面についても確認しておく。
• 利用者向け
  • 改ざんされたECサイトを利用してしまった場合に備え、攻撃者サーバ（悪性ドメイン）への通信をブロックする機能を有するウイルス対策ソフト等を導入する。
  • クレジットカードの明細書において、心当たりのない購入履歴が含まれていないか確認する。万が一、被害に遭った場合は、クレジットカード会社や警察署等へ相談する。

IOC（Indicator Of Compromised)

今回の記事に関する悪性ドメインの情報は、こちら(PDFリンク)を参照してください。

関連情報

• ラック
  　国内ECサイトの被害を確認、Webスキミング攻撃の実態とラックが考える対策例【追記】
  　https://www.lac.co.jp/lacwatch/report/20220407_002923.html
• トレンドマイクロ
  　新しいECサイトの攻撃手法、Webスキミングとは？
  　https://businessonline.trendmicro.co.jp/sb/smb/problem_054.asp