404エラーに埋め込み

Magecart攻撃と呼ばれるサイバー攻撃があります。
Magecartは、ECサイトを標的にクレジットカード情報を盗むサイバー犯罪集団の総称です。
そして、この集団の攻撃はMagecart攻撃とも呼ばれ、一般的な手法としては、ECサイトを侵害し悪意のあるコードを挿入、サイトを利用する顧客のクレジットカード情報をスキミングします。
Magecart攻撃は新しいものではなく、2015年以降に多く観測されていて、継続的に攻撃手法に変更が加えられてきています。

Magecart攻撃は、通常、対象となるWebサイトの脆弱性を悪用するか、これらのWebサイトが使用しているサードパーティのサービスに感染することによって始まります。
このキャンペーンでは、悪意のあるコードスニペットが侵害対象のWebサイトそのもののWebリソースの1つに挿入されました。
これは、従来にはない新たな動きに思えます。

今回観測されている攻撃は、次のように進みます。

• 被害者がWebサイトを訪問する
  被害者がクレジットカード情報の入力を含む機能を持つサイトに訪問します。

   

• 存在しないURLを参照させる
  被害者のWebブラウザが取得したWebコンテンツには、すでに改変された内容が含まれています。
  全体としてはオリジナルコンテンツのままなのですが、攻撃のためのコードが挿入されています。
  存在しない「/icons/」というURLの取得を行わせるコードが挿入されています。

   

• 404エラーを起こす
  存在しないURLを参照していますので、WebサーバはWebブラウザに404エラーを返します。
  通常は誤った情報の取得を行ったことがわかるのみとなっています。

   

• 404エラーにJavaScriptが含まれる
  通常の404エラーページは、エラーであることを通知する機能のみが含まれます。
  しかし、このキャンペーンで使用される404エラーには、Base64で難読化されたJavaScriptが含まれていました。
  別のコードがこのJavaScriptを復号化し、動作させます。
  動作したコードは、被害者がWebページに入力するクレジットカードの情報を取得します。

   

• 偽の入力画面の利用
  いろいろなWebでの支払い機能の実装形式がありますが、ここのところは、サードパーティの支払いサービスを利用するケースがよくあります。
  この形式が選択されている場合、Magecart攻撃は実施しやすくありません。
  今回の攻撃キャンペーンでは、偽の入力画面を実際の入力画面が表示されるはずの画面の部分に重ねて表示します。
  そして、偽の入力画面にクレジットカード情報を入力させます。

   

• 気が付かれない工夫
  偽の入力フォームに入力しただけの場合、もともとそのWebサイトの利用者が実施しようとしていた買い物などの目的は達成されません。
  これを回避する内容も準備されています。
  偽の入力フォームに入力して送信した後、その情報が誤っているかどうかに関係なく、偽画面でエラーが発生した表示を実施します。
  そして、偽画面を非表示にします。
  これにより、入力ミスをしたので、再入力を行わせるような体裁となります。

攻撃者は検出が意識されていない内容を探します。
今回の404の悪用は、その例といえそうです。

活動が可能な状態となってしまったものの活動そのものを検出することは容易ではなさそうです。
活動環境を整えるためには、そのサイトそのものを侵害し、悪意のあるコンテンツを設置する段階があります。
この悪意あるコンテンツの設置には、従来からの対策で臨むことになるでしょう。
公開しているWebサイトの環境に対し、脆弱性対策を継続することや、管理者アカウントの情報を安全に保つことなどが、その対策となりそうです。

高度化されていく攻撃に対して有効なのは、やはりShift Leftということに思えます。

参考記事（外部リンク）：The Art of Concealment: A New Magecart Campaign That’s
Abusing 404 Pages
www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer