サイバー犯罪者はいつでもWeb技術を不正に利用する方法を模索している。本来想定されているのとは異なる目的で機能を使い、セキュリティソフトウェアや人の目を欺くことに日々取り組んでいる。Malwarebytesの研究者が、「Newly observed PHP-based skimmer shows ongoing Magecart Group 12 activity - Malwarebytes Labs|Malwarebytes Labs」において、サイバー犯罪者はFaviconにPHPベースのWebシェルを仕込む方法を見つけたようだ。

  • Newly observed PHP-based skimmer shows ongoing Magecart Group 12 activity - Malwarebytes Labs|Malwarebytes Labs

    Newly observed PHP-based skimmer shows ongoing Magecart Group 12 activity - Malwarebytes Labs | Malwarebytes Labs

FaviconはWebサイトを表示した際、Webブラウザのタブに表示される小さなアイコンだ。小さいアイコンではあるものの、Webサイトの顔のひとつであり、ユーザーに対してWebサイトを認識させる重要な役割を担っている。今回発見されたのは、このFavicon画像(PNG画像)に見せかけて、実際にはPHPベースのWebシェルを仕込むというもの。

Faviconに不正コードを仕込むという手口が発見されたのは今回が初めてではない。Malwarebytesは1年前の2020年5月にもFaviconに不正なJavaScriptを仕込むという手口を発見している。今回の発見は仕込まれるコードの種類と連動するコードなどに違いがある。

セキュリティ・ソフトウェアはさまざまな方法でダウンロードされるデータに不正なコードが仕込まれていないかの検出を行っている。サイバー犯罪者はこうしたソフトウェアに検出されることを防ぐために、通常は不正コードの配布に使われることのない経路を使って不正コードの送信を行う手口を模索している。セキュリティソフトウェアは常に最新の状態に保持するなどして、こうした不正な手口の検出を行って対応していくことが望まれる。