Google Tag Managerの正規の機能を悪用して、悪意のあるJavaScriptコードを密かに追加し、300以上のEコマース・ストアに展開していたことがわかりました。
COVID-19パンデミックによる電子商取引への移行により、CNPのe-スキミング行為への関心が高まっています。活動のレベルが上がるにつれ、自動化されたスキャナーやセキュリティ研究者から活動を隠すためのレベルも上がっています。正規のサービスを利用することは、悪意のあるスクリプトを隠し、被害を受けた電子商取引サイトで足場を確保する絶好の機会となります。
「GTM container e-skimmer」の亜種は、ウェブフォームからデータを収集する際に「すべてを取得する」というシンプルな手法を用いており、親しみやすいドメイン名を使用することでデータの流出を隠蔽しようとしています。GTMのいずれかの亜種に感染すると、攻撃者は、被害者のサーバにアクセスすることなく、攻撃インフラを変更することができます。
これは、スキマーの不具合や、セカンダリローダーや流出先のURLの修正など、変更が必要な場合に、検知されずに済む重要な手段となります。
このコードは、「ウェブスキマー」または「Magecartスクリプト」と呼ばれ、オンラインショッピング利用者の支払いカード情報を収集するために使用され、そのデータは後にアンダーグラウンドフォーラムで販売されていたと、レコーデッド・フューチャーの金融詐欺専門部門であるジェミニ・アドバイザリが発表しました。
ジェミニ・アドバイザリーによると、この攻撃は合計で316のオンラインストアと推定88,000人のユーザーを対象に行われ、ユーザーのデータはオンラインで販売されていたとのことです。
Google Tag Managerとは?
今回の攻撃に共通する特徴は、ウェブサイトの所有者がサイト上のトラッキングコードや分析コードを動的に更新できるグーグルのツールである「Google Tag Manager」を悪用していることです。
具体的には、JavaScriptのコードブロック全体をパッケージ化して出荷するための機能であるGTMコンテナを悪用していました。
ハッカーが独自のGTMコンテナを作成し、Eコマースストアに侵入して、所有者に気づかれないようにコードを密かにロードするというものでした。
Webセキュリティツールや、Webサイトの所有者が自分のコードを検査しても、自分のGTMタグから悪意のあるGTMコンテナを検出するのは困難だったため、この攻撃は成功し、数ヶ月間水面下で稼働していました。
これらの悪意のあるGTMコンテナは、購入者が支払いフォームに追加したすべての情報を収集するコードをロードし、そのデータをリモートの収集サーバーに送信、そこからアンダーグラウンドフォーラムで収益化されていたとのことです。
これまでに確認された2つの脅威グループ
ジェミニ・アドバイザリーでは、悪意のあるGTMコンテナがどのように悪用されたかに基づき、この攻撃は2つの異なるグループによって運営されていたと考えています。
2つのグループの違いは、グループ1がウェブスキマー全体をGTMコンテナ内に埋め込んだのに対し、グループ2はハッキングされたサイト上で動作するローダーをコンテナ内に配置し、中間ステップを経てウェブスキマーをロードしたことです。
2つのGTMコンテナには、GTMコンテナ内に電子スキマーを格納するという似たような手法がありますが、2つのGTMコンテナには、GTMコンテナ内にウェブスキマーを格納したり、デュアルユースドメインからウェブスキマーをロードするスクリプトをGTMコンテナ内に格納したりする類似した手口が含まれています。
2つの亜種を分析した結果、それぞれの亜種に2つの異なるMagecartグループが関与していることが示唆されました
グループ1が最も活発で、ハッキング全体の3分の2を占めているとのことで、2021年3月に活動を開始し、グループ2は5月に攻撃を開始しました。
どちらも、Magento、WordPress、Shopify、BigCommerceなど、さまざまなプラットフォームで運営されているオンラインストアをハッキングしています
研究によると、侵害されたサイトのほとんどは小規模なオンラインストア事業であり、Alexaトップ50,000に掲載されるほどのトラフィックがあったのは1つだけだったといいます。
またセキュリティ企業のSansec社は、最近、さまざまなWebスキミング操作の詳細を公開しており、グループがWebベースの侵害から独自のマルウェアを開発して、ハッキングしたサイトにサーバーレベルで侵入し、将来的に継続してアクセスできるようにする傾向にあるとコメントしています。
Comments