（株）ＮＴＴデータが発表した「サイバーセキュリティに関するグローバル動向・四半期レポート」（２０１９年１月～３月）によると、攻撃グループ「Ｍａｇｅｃａｒｔ」によるＷｅｂスキミング事案が多数発生していることが分かった。さらに、Ｗｅｂスキミングにより入手したと思われる３５億件を超えるアカウント情報が流通していることも明らかになった。

　同レポートは、１９年１月～３月にサイバーセキュリティに関するグローバル動向について調査を実施し、その調査結果をまとめたもの。セキュリティ被害の抑止を目的に、犯行の手口やその対処法、の予測などについて公開している。

存在感増す攻撃グループ「Ｍａｇｅｃａｒｔ」

　同期間中、攻撃グループ「Ｍａｇｅｃａｒｔ」によるＷｅｂスキミングやソフトウェアサプライチェーンを利用した攻撃が多数発生。同グループは以前から存在していたが、最近になって攻撃数を増やし、存在感を示し始めている。情報漏えい関連では、過去に流出したアカウント情報が集約されたファイル「Ｃｏｌｌｅｃｔｉｏｎ＃１」が公開される事案も生じている。

!nextpage!

　「Ｃｏｌｌｅｃｔｉｏｎ＃１」以外にも、アカウント情報を膨大に含んだ７つのファイル群が次々と公開され、合計すると３５億件を超えるアカウント情報が公開された。これらは過去にインターネットに流出したことのあるアカウント情報を集約したもので、アカウント情報の窃取・流出、集約したリストの流通は定期的に行われている。ユーザは各自で自分のアカウント情報が漏えいしていないか考慮し、２要素認証の利用やパスワード使い回しを行わないなどの対策をする必要がある。

ＷＥＢスキミングと不正コード挿入で情報窃取

　手口としては、脆弱なオンラインストアが改ざんされ、決済情報が窃取される「Ｗｅｂスキミング」の事例が多数を占めている。Ｗｅｂスキミングの手口としては、管理画面などに総当たり攻撃を行いＩＤ／ＰＷを推測するほか、脆弱性スキャンを行って改ざん可能な脆弱性を把握する手法が取られている。

新しいＷＥＢスキミングの流れ（トレンドマイクロセキュリティブログより）

　また、ＷＥＢスキミングにより不正なコードを挿入する手法は、次の手順で行われている。

1. 攻撃者が広告配信サービスの提供者の環境へ侵入
2. 広告配信で使用するＪａｖａＳｃｒｉｐｔライブラリを改ざん
3. ＷＥＢスキミング用の不正なコードを挿入
4. 改ざんされたＪａｖａＳｃｒｉｐｔライブラリをオンラインストアに配信
5. 同ライブラリを利用しているオンラインストアに不正コードが読み込まれる
6. ユーザがオンラインストアで決済した際に、不正なコードにより決済情報をＷｅｂスキミング
7. 窃取した決済情報を攻撃者のサーバに送信

通販サイトへのリスト型攻撃の拡大を予測

　今後の予測として同調査では、１９年４以降、すでに流出したアカウント情報を悪用した標的型攻撃やリスト型攻撃の増加や、暗号通貨関連への攻撃が増えることを予測。特にオンラインストアの被害が拡大する考えを示した。

　同社では、Ｗｅｂスキミングの被害に遭わないために、オンラインストア提供者に対して、ミドルウェアやプラットフォームを適宜アップデートすることで脆弱性を解消するとともに、認証の仕組みやセキュリティ設定などの見直しにより、オンラインストアを堅牢化することを推奨。また、間接的な手法による被害を防ぐために、信頼できるライブラリやプラグインのみを利用すること、セキュリティ診断やＷｅｂ改ざん検知ソリューションを導入することなどを勧めている。

■「グローバルセキュリティ動向四半期レポート」（２０１８年度第４四半期）

▽関連記事

・コジマ通販サイトにリスト型攻撃、カード情報の流出は無し

・ユニクロ公式サイトにリスト型攻撃、４６万件のアカウントが被害に

・ｄアカウント乗っ取り１０００件、ドコモ通販サイトで不正購入発覚

・リスト型攻撃が多発、実害も…１８年ＥＣセキュリティ事故を総括