EC・通販、ネットショップを支援するメディア

2021.05.26 事件・トラブル

ECサイト攻撃キャンペーン「Water Pamola」、管理者の注文確認時に自動流出か

  • このエントリーをはてなブックマークに追加
トレンドマイクロ(株)が24日公表した自社のセキュリティブログで、「クロスサイトスクリプティング(XSS)の脆弱性」の悪用によるクレジット情報の流出が明らかになった(株)イーシーキューブのオープンソースECサイト構築パッケージ「EC-CUBE」について言及。2年以上に及ぶ調査結果とともに、対処法などについて記している。


Water Pamolaの攻撃フロー

「Water Pamola」は20年初から日本に限定した攻撃に

「EC-CUBE」をめぐっては、開発元が、複数サイトで攻撃がありクレジットカード情報の流出を確認しているとして、ユーザーに緊急対応の対策案を提供。(一社)JPCERTコーディネーションセンターなども、EC-CUBE 4.0系で緊急度「高」の脆弱性が発覚したことによる注意を促している。この問題では、経済産業省が2019年12月に同様の注意喚起を行っている。

同社の追跡も同年から。日・豪・欧に及ぶ一連の攻撃キャンペーンを「Water Pamola」と名付け、調査してきた。20年初頭からは主に日本のみとなり、スパムメールの代わりにオンラインショップの管理者が管理画面で注文を確認する際に不正スクリプトが実行される状況になった。さらなる調査で、顧客の住所などの入力欄にJavaScriptのコードが挿入され、店舗の管理ポータルに存在するXSSの脆弱性の悪用により起動されることを確認した。

ECサイト管理者が注文確認→攻撃者側に注文情報が自動的に読み込み

オンラインショップにXSS攻撃の脆弱が存在する場合、被害者(標的となったオンラインショップ管理者)が管理パネル内で注文を開くと、注文情報が攻撃者へ自動的に読み込まれることになる。スクリプトが実行する不正な動作として、ページグラビング(Webページの取得)、クレデンシャルフィッシング(認証情報窃取のフィッシング攻撃)、Webシェルへの感染攻撃、マルウェアの配信などを確認している。

Water Pamolaは、オンラインショッピングの注文に不正なクロスサイトスクリプトを付加して送信することでECの管理者へ攻撃を仕掛けていた。さらに特定のECフレームワークではなく、ECシステム全般を対象としている点も特筆すべきとした。これらのクロスサイトスクリプトは、XSS攻撃フレームワークで管理され、攻撃スクリプトや窃取情報の処理に利用される。

ソースコードは中国のパブリックフォーラムで共有も

また、このフレームワークのソースコードは、多くの中国のパブリックフォーラムで共有され、一定のカスタマイズが施されていることも確認された。攻撃者はさまざまな種類のクロスサイトスクリプトを配信しており、不正なスクリプトの中には、日本で普及しているEC-CUBEフレームワークで構築されたWebサイトに、バックドアをインストールする動作も確認した。

同社によると、Water Pamolaは、オンラインショッピング注文時にクロスサイトスクリプトを付加してオンライン業者を攻撃する。さらにまた、認証情報を詐取したり、リモートアクセスツールをダウンロードさせたりするソーシャルエンジニアリングの手法も駆使する。オンラインショップの管理者は、このように、スパムメールだけでなく予期しないさまざまな感染経路から攻撃を受けるリスクがあることを認識しておく必要がある。

また、XSS攻撃などで悪用される脆弱性のリスクを防ぐためには、Webサイトで使用しているECプラットフォームのバージョンを常に最新に保つことを勧めている。特にWater Pamolaの攻撃が確認されたプラットフォームの1つである「EC-CUBE」について、ユーザーは使用のバージョンを確認の上、必要であれば速やかに修正を適用することを推奨している。









ログイン/会員登録

通販通信ECMO(エクモ)会員
ログイン

パスワードをお忘れの方へ

資料掲載企業ログイン

パスワードをお忘れの方へ

ダウンロードするにはログインが必要です。

旧「通販通信」サイトの会員情報では通販通信ECMO(エクモ)会員としてログインできません

パスワードをお忘れの方へ
会員登録されてない方 通販通信ECMO(エクモ)会員
(無料登録)

「資料掲載企業アカウント」では個別資料のダウンロードはできません
上記(無料登録)をクリックして登録してください。

※旧「ECマッチング」サイトの「ECマッチング会員(ECサイト運営者)の会員情報は、そのまま通販通信ECMO(エクモ)会員としてご利用いただけます。

イベント・セミナー予約するにはログインが必要です。

旧「通販通信」サイトの会員情報では通販通信ECMO(エクモ)会員としてログインできません

パスワードをお忘れの方へ
会員登録されてない方 通販通信ECMO(エクモ)会員
(無料登録)

「資料掲載企業アカウント」ではイベント・セミナー予約はできません。上記(無料登録)をクリックして登録して下さい。
※旧「ECマッチング」サイトの「ECマッチング会員(ECサイト運営者)の会員情報は、そのまま通販通信ECMO(エクモ)会員としてご利用いただけます。

記事の続きを読むにはログインが必要です。

旧「通販通信」サイトの会員情報では通販通信ECMO(エクモ)会員としてログインできません

パスワードをお忘れの方へ
会員登録されてない方 通販通信ECMO(エクモ)会員
(無料登録)

「資料掲載企業アカウント」では記事の全文閲覧はできません。上記(無料登録)をクリックして登録して下さい。
※旧「ECマッチング」サイトの「ECマッチング会員(ECサイト運営者)の会員情報は、そのまま通販通信ECMO(エクモ)会員としてご利用いただけます。