動画コンテンツでスキマー追加

ほぼこもセキュリティニュース By Terilogy Worx

あけましておめでとうございます。
本年もよろしくお願いいたします。

時節柄ということもありますし、先の見えないオミクロンのこともありますので、外出する機会はなかなか増えない状況です。
こうなってくるとどうしても家で何でも済ましてしまおうということになってきます。
いろいろなサービスがWebで提供されるようになっていますし、そのサイトのコンテンツも豊かになってきていると感じます。

こういったコンテンツを豊かにしている要素の一つに動画コンテンツがあるように思います。
いろいろな仕組みが提供されていますので、たとえばどこかで見つけてきたWeb部品をWebに埋め込むだけで、自分では難しい開発などを行うことなく自分の作っているWebサイトに動画コンテンツを組み込むことができます。
普通に写真を埋め込んでいるようなスタイルで動画を埋め込むこともできますし、いろいろな目を引くギミックを付け加えられた魅力的なWeb部品もいろいろなところで提供されています。

こういった仕組みを構成している技術要素はいくつもありますが、その重要な位置にあるのはJavaScriptでしょうか。

観測されたのは、次のようなものでした。

  • Webサイト管理者がどこかで動画コンテンツ用のWeb部品を手に入れ、そのURLを自身のWebに組み込む
  • 動画コンテンツ用Web部品のJavaScriptは、Webサイトが利用者のブラウザに表示される際に取得され、動画コンテンツの機能を提供する

これだけ見るとどこに問題があるのかわかりません。
その裏側ではこうなっていました。

  • 動画コンテンツ用のWeb部品を構成しているJavaScriptは、本来期待されている機能を提供できる
  • 動画コンテンツを追加したかったWeb担当者は、期待機能が追加でき、満足する
  • あるとき、動画コンテンツ用のWeb部品のコードが更新される
  • 動画コンテンツ用のWeb部品を構成しているJavaScriptのコードの中に、動画コンテンツのためのコードとは別のものが混ぜ込まれた状態になる
  • 不要な要素の追加されたコンテンツは多くのWebサイト利用者のブラウザに読み込まれる
  • 混ぜ込まれたコードはWebサイト利用者の手元で入力されている情報を読み取る
  • 読み取った情報をC2に送信する

追加されたコードは、いわゆるスキマーです。不正にデータを取得する行為のひとつにスキミングがありますが、その際に使用されるツールがスキマーです。

動画コンテンツが取り込まれたことが確認されたのは、たとえば不動産業者でした。
不動産業者のWebサイトを閲覧している人はなにかの申し込みを行うこともあるでしょう。
そういった人が入力する自分の名前や住所などの個人情報が、不動産業者だけでなく、スキマーに関連する犯罪者の手元に集まっていきます。

こういった脅威には、現状は特効薬はまだないかもしれません。
動画コンテンツの入手元が確かだからといって、それだけで安心できるものとも思えません。
コードは難読化されていて静的解析で発見することも容易ではないと思います。

脅威を知り、継続的に新しい対策を検討していく姿勢が必要ということなのかもしれません。

参考記事(外部リンク):A New Web Skimmer Campaign Targets Real Estate Websites
Through Attacking Cloud Video Distribution Supply Chain

unit42.paloaltonetworks.com/web-skimmer-video-distribution/