JavaScript管理フレームワークを開発するJscramblerは1月31日(米国時間)、「Stealing Seconds: Web Skimmer Compromises Casio UK」において、カシオ計算機の英国子会社「Casio Electronics」の通販サイトが侵害されクレジットカード情報を含む個人情報を流出した可能性があると報じた。
侵害されたWebサイトはCasio Electronics以外に、少なくとも16サイト発見されている。Casio Electronicsはすでに修正されているが、他サイトについては対策中として詳細を公開していない。
-
Stealing Seconds: Web Skimmer Compromises Casio UK
標的はMagentoプラットフォームの可能性
Jscramblerの調査によると、標的はオープンソース電子商取引プラットフォームの「Magento」の可能性があるという。攻撃者は通販サイトにインストールされた脆弱なコンポーネントを悪用して、Webサイトを改ざんしたと推測されている。
改ざんは標的Webサイトのホームページに行われた。訪問者がアクセスすると改ざんによって追加されたJavaScriptは、外部からJavaScript(以下スキマースクリプトと呼称)をロードして即座に自身を削除する。最初のJavaScriptは難読化されていないが、スキマースクリプトは難読化されており、Webアプリケーションファイアウォール(WAF: Web Application Firewall)を回避する機能があるという。
スキマースクリプトは決済ページ以外のすべてのWebページを侵害し、支払いボタンのクリックを検出して偽の決済ページを表示する。偽の決済ページでは次の情報を入力させ、最後にエラーを表示して正規の決済ページにリダイレクトすることで攻撃を隠蔽する。
- 氏名、国、住所、郵便番号、電話番号、メールアドレス
- クレジットカード情報(セキュリティコードを含む)
-
偽の決済ページの例。途中で配送料を表示して正当性をアピールする 引用:Jscrambler
Jscramblerは複数のWebサイトから同様のスクリプトを発見しており、同一のスクリプト生成ツールを使用して作成された可能性があるとしている。また、スキマースクリプトは同じロシアのホスティングプロバイダーからダウンロードされたことが確認されている。しかしながら、現時点では同一の脅威アクターによる攻撃かは特定できていない。
影響と対策
Casio ElectronicsのWebサイト侵害日時は正確にはわかっておらず、2025年1月14日から24日までとされる。その数日後の1月28日にJscramblerが侵害を発見・報告し、Casio Electronicsは翌29日までに悪意のあるJavaScriptを削除した。
Casio Electronicsは同様の攻撃を検出するためにコンテンツセキュリティポリシー(CSP: Content Security Policy)を導入していたが、「レポートのみ」を選択していたことから侵害をブロックできなかったとされる。
ブロックを選択した場合は管理コストが増大するためレポートのみを選択する企業は多いとされるが、通常その場合はレポートを調査する専用のツールを開発する必要がある。ブロックせず、ツールも作成しない場合、侵害を検出することは難しく、今回のような結果となる。
どの対策を選択してもコストの増加は避けられないが、顧客保護のため通販サイトを運営する企業には対策の実施が望まれている。
Webカメラの映像流出に注意、日本は流出量で世界第2位
