Symantecは、今年の8月以降電子決済サイトの支払いフォームからJavaScriptコードを使ってクレジットカード情報などのデータを盗み出すフォームジャッキング攻撃が急増しいると公式ブログで注意を促している。

シマンテック公式ブログ掲載のフォームジャッキングの仕組み。フォームジャッキングをしかけるためのサーバ侵入には、サプライチェーン攻撃など巧妙な手口が潜む

シマンテック公式ブログ掲載のフォームジャッキングの仕組み。フォームジャッキングをしかけるためのサーバ侵入には、サプライチェーン攻撃など巧妙な手口が潜む

ブログによると同社が遮断した件数は8月13日以降平均で6,000件を超え、9月12日から20日の一週間でもさらに増加するなど持続性を見せており、総数で約25万件にのぼる。2015年から活動するMagecartと呼ばれる特定のグループによる攻撃と見られ、戦術を変化させることで英British Airwaysや米Ticketmasterなど大手企業もターゲットになっている。国や地域に関わらずオンライン決済を処理している企業はすべてフォームジャッキングの被害者になる可能性があると注意を促している。

ブログではMagecartによる侵入手法を例示しており、大手企業のWebフォームに巧妙なサプライチェーン攻撃などを駆使し、フォームジャッキングを仕掛けることで大規模な被害へと行き着く過程を記している。米Ticketmasterに対する攻撃では、Ticketmaster社がWebサイトでカスタマサポートに利用していた技術系企業の運営するチャットボットへの侵入から、TicketmasterのWebサイトへのJavaScriptコードのインジェクトへといたっており、"広く利用されているサードパーティのサプライヤが1社でも Magecartの侵入を許せば、何千何万ものサイトが一度に感染する恐れすらある"と警鐘を鳴らしている。