人気サイトに仕込まれていたカード番号盗難等の脅威。Alexa上位1万件のサイトのうち4件にて脅威検出
パロアルトネットワークス社の調査によれば、ウェブサイトの人気度を計測する「Alexaランキング」で上位1万件のWebサイトを調査したところ、クレジットカード番号の盗難に遭う等の「脅威」が含まれたサイトが4つ存在していたと発表した。
■侵害されたサイト
・悪意のあるコインマイナー
pojoksatu[.]idとzoombangla[.]comというニュースサイトで発見されたのが、「悪意のあるコインマイナー」。
悪意のあるコインマイナーとはJavaScript等をウェブサイトに埋め込んでおき、ウェブサイトを訪問したユーザのパソコンやスマートフォンのCPUや電力を利用して、「無断で暗号通貨を発掘」させる行為。pojoksatu[.]idとzoombangla[.]comに合わせて60以上のURLページにCoinhiveマイニングスクリプトが挿入されていた。
■悪意のある外部リンク
・広告に仕掛けられた「脅威サイトへの誘導リンク」
中古車販売を行っているlibero[.]itで確認されたのが「悪意のある外部リンク」。libero[.]it自体は正当なWebサイトだが、攻撃者はこのサイトに表示される「中古車車両の広告」のリンク先を「悪意のあるサイト」としていた。「この車良いな」と思って何気なくクリックした先には悪意のあるウェブサイトに誘導されてしまうという仕掛け。
こういった「悪意のあるサイト」へ誘導する手法としては「メール」が一番利用されやすいが、「メール」システムにはフィッシングメール対策が施されているのが当たり前となってきているので、攻撃者はこういった対策を迂回するために「正当なウェブサイト」の外部リンクを利用して「悪意のあるサイト」へ誘導する手段の採用を進めている。
訪問しているウェブサイトの「外部リンク」が「正常」か「悪意があるか」を人間の目視で確認することはほぼ不可能なため、こういった「悪意のある外部リンク」からユーザーを守る「脅威サイトへの通信をブロックする機能をもったURLフィルタリング」等を用いる必要があるだろう。
■Webスキミング
さて、今回紹介する「脅威」の中で最も危険な攻撃がこの「Webスキミング」だ。この攻撃はあらかじめ侵害したECサイトの決済ページに「悪意のあるコード」を埋め込んでおき、チェックアウトフォームが入力された時に「支払いカード」の詳細を盗むという攻撃手法となる。別名Eスキミング、あるいはMagecart攻撃とも呼ばれる。
この攻撃が仕掛けられていることが確認されたのが、中央・東ヨーロッパ市場で最大のeコマースプラットフォームであるwww[.]heureka[.]cz。正確にはwww[.]heureka[.]czの中に入っているストアの一軒がWebスキミングのコードが仕掛けられていた。
この攻撃が成功すると「チェックアウトフォーム」に入力したクレジットカード番号、住所など、すべてのユーザー情報がリモートの攻撃者サーバーに送信される。
Webスキミングが仕掛けられたECサイト等は日本国内でも増加傾向にあり、Covid-19の感染拡大によってECサイト利用が増加したことを利用し脆弱なウェブサイトが狙われている。
■人気のあるサイトでも油断は禁物
今回の調査から、多くの人が訪れる人気のウェブサイトだからといって「安全」と決めつける根拠にならないことがわかった。もちろん、今回紹介したウェブサイト自体に悪意があるわけではなく、攻撃者に悪用されているだけであるが、何気なく訪問したウェブサイトで被害に遭わないように注意しなければならない。
テレワークが定着し、自宅のWi-Fiからインターネットを見ている従業員も少なくないだろう。こういった従業員が訪問したウェブサイトでクリックしようとしているURLが正規のものであるかどうかを全てにおいて正確に判断することは不可能だ。「脅威通信を排除するURLフィルタリング」のような仕組みを導入する必要があるだろう。