放置されたショッピングシステムが多数ハッキングされる

『Security Affairs』

January 23, 2017 08:30
by 『Security Affairs』

ドイツの情報セキュリティ庁(Bundesamt für Sicherheit in der Informationstechnik/BSI)によると、eBayのプラットフォーム「Magento」を使用するオンラインストア6000店以上がここ2年にわたってハッキングされてきたという。詐欺師らはクレジットカードのデータを盗む目的で、このeコマースのプラットフォームを狙い、 パッチが当てられていないMagentoのオンラインショップにカーディングマルウェアを挿入していた。

BSIは国内のオンラインストアが約1000店あるということを発表しているが、盗まれたデータの総数に関する情報は提供していない。

「BSIは、現段階でドイツのオンラインストア1000店以上がオンラインスキミングの影響を受けているとの情報を受け取った。ここでは犯罪者たちが悪意のあるコードを挿入するため、このショップ向けソフトウェアの古いバージョンの脆弱性を悪用している。そして注文処理の際には『顧客の支払い情報』 の入手に至り、その情報を犯人に送信する。この攻撃の影響を受けるのは、 Magentoをベースとした広範に利用されているソフトウェアを利用するオンラインショップだ」と、BSIが公開したアドバイザリーには記されている。「感染したコードや、関連するデータフローは通常、ユーザには見えない。BSIは今のところ、これらの攻撃で既に加害者の手に渡った『(顧客の)支払いデータ』の範囲について把握していない」

情報セキュリティ庁は被害者への攻撃を報告しているが、その多くが問題を修正しそびれていたものだ。パッチが当てられていないMagentoのショップに対するカーディング攻撃を昨年10月に初めて報告したのは、セキュリティ専門家のWillem de Groot氏だった。このドイツ人専門家は、「市民からの寄付を受け付けている全国共和党上院委員会のウェブサイト」に対して行われた一つのサイバー攻撃を解析した。そのプラットフォームのトラフィックを解析したde Groot氏によると、ハッカーらは2016年3月16日から10月5日の間、毎月約3500件の取引に関するデータにアクセスしていたという。

カードのデータはロシアのIPアドレスに送り返されていた。この専門家は、その段階でクレジットカード(のデータ)2万1000枚分が盗まれていたのではないかと推測している。

このとき、Magentoのショップに対する攻撃により、18ヵ月間で約6000のサイトが感染したとde Groot氏は考えている。そして彼は、Magentoのショップのオペレーターが自分のウェブサイトをチェックできる無料の脆弱性スキャンサービスも公開した。

複数の「パッチが当てられていないMagentoのショップに対する攻撃」の犯人たちが、同じ人々なのかどうかは不明だ。

BISは現在、ハッカーに感染させられたMagentoのショップのオペレーターに再度忠告しようとしている。残念ながら、またしてもオペレーターらは、そのeコマースプラットフォームを保護するためのセキュリティ対策の必要性を訴えることができていなかったのだ。

「残念ながら、いまだに『多くのオペレーターが自分のオンラインストアを守ることに無頓着だ』ということが示されている」とBSIの長官Arne Sch?nbohm 氏は語る

「様々なショップが、複数の既知の脆弱性がある古いバージョンのソフトウェアを利用している。オペレーターたちは自分たちの顧客への責任を果たし、自分のサービスが迅速に修復されること、それが今後も継続的に行われることを保証しなければならない。」

「今のところシステムを守る責務は企業だけでなく、その他全てのウェブサイトの実務的なオペレーターにもあると我々(BSI)は指摘している。例えばこれには、継続的に利益を生み出している個人や民間団体のウェブサイトも含まれる。ウェブサイトに貼られたバナーで収益を得ている場合、それは既に責任を負っているものと見なされる。」とBSIは主張した。「Magentoのオンラインショップの顧客とオペレーターは、無料のチェックサービスMageReport を利用し、自分のショップのシステムに既知の脆弱性があるかどうか、また攻撃の影響を受けているかどうかを確認することができる」
 
翻訳:編集部
原文:Thousands of unpatched Magento shops hacked in the last two years
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…