Magecart 攻撃
Magecart 攻撃 とは何ですか?
Magecart 攻撃EC サイトの決済ページに悪意ある JavaScript を注入し、顧客がカード情報を入力する瞬間に窃取するデジタルスキミング攻撃の総称。
Magecart は RiskIQ が命名した呼称で、オンラインストアのクライアント側スキミングを得意とする複数の犯罪グループを総称します。攻撃者は加盟店の Web スタック(Magento の管理画面、サードパーティタグ、CDN、S3 バケット、解析スクリプトなど)を侵害し、決済ページのフォームデータを攻撃者ドメインへ密かに送信する JavaScript を埋め込みます。スキマーは顧客ブラウザで動作するため、決済プロセッサーやサーバ側コントロールからは見えません。著名な被害例として British Airways(2018 年、38 万枚のカード)、Ticketmaster、Newegg、多数の Shopify・WooCommerce 加盟店があります。対策としては CSP、Subresource Integrity、サードパーティスクリプト監視、PCI DSS v4.0 の要件 6.4.3 と 11.6.1 が中心となります。
● 例
- 01
British Airways 2018: 攻撃者が Modernizr ライブラリを改ざんし、38 万件のカード番号を盗む。
- 02
Ticketmaster 2018: 侵害された第三者チャットボットスクリプト(Inbenta)が決済情報を漏洩。
● よくある質問
Magecart 攻撃 とは何ですか?
EC サイトの決済ページに悪意ある JavaScript を注入し、顧客がカード情報を入力する瞬間に窃取するデジタルスキミング攻撃の総称。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Magecart 攻撃 とはどういう意味ですか?
EC サイトの決済ページに悪意ある JavaScript を注入し、顧客がカード情報を入力する瞬間に窃取するデジタルスキミング攻撃の総称。
Magecart 攻撃 はどのように機能しますか?
Magecart は RiskIQ が命名した呼称で、オンラインストアのクライアント側スキミングを得意とする複数の犯罪グループを総称します。攻撃者は加盟店の Web スタック(Magento の管理画面、サードパーティタグ、CDN、S3 バケット、解析スクリプトなど)を侵害し、決済ページのフォームデータを攻撃者ドメインへ密かに送信する JavaScript を埋め込みます。スキマーは顧客ブラウザで動作するため、決済プロセッサーやサーバ側コントロールからは見えません。著名な被害例として British Airways(2018 年、38 万枚のカード)、Ticketmaster、Newegg、多数の Shopify・WooCommerce 加盟店があります。対策としては CSP、Subresource Integrity、サードパーティスクリプト監視、PCI DSS v4.0 の要件 6.4.3 と 11.6.1 が中心となります。
Magecart 攻撃 からどのように防御しますか?
Magecart 攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Magecart 攻撃 の別名は何ですか?
一般的な別名: Web スキミング, デジタルスキミング。
● 関連用語
- attacks№ 1229
Web スキマー / e スキミング
Web サイトに注入された不正コードで、顧客がページ上に入力するクレジットカード情報や個人情報を窃取する。
- attacks№ 431
フォームジャッキング
悪意ある JavaScript が被害者のブラウザでフォーム送信を傍受し、入力データを攻撃者サーバーへ送信する攻撃。
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- attacks№ 240
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
- compliance№ 807
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。