ワーナーミュージックへのMagecart攻撃:
ワーナーミュージックグループの米国オンラインストアがMagecartによるものと思われる攻撃を受けて、カード情報が流出した様です。
www.teiss.co.uk
ワーナーミュージックグループは、今年4月25日から8月5日の間に、ハッカーが米国を拠点とする多くのeコマースWebサイトを侵害し、侵害されたサイトでアイテムを購入したユーザーの個人情報を盗んだことを明らかにしました。
(中略)
カリフォルニア州司法長官に提出されたデータ侵害事件の通知で、ワーナーミュージックグループは今年の4月25日から8月5日の間に、正体不明のハッカーが外部サービスプロバイダーによってホストおよびサポートされている多くのeコマースWebサイトを侵害したと述べました。次に、ハッカーはスキミングコードをWebサイトに埋め込み、サイトのチェックアウトページで訪問者が入力した情報を引き出します。
「2020年4月25日から2020年8月5日の間にショッピングカートに商品を置いた後に影響を受ける1つ以上のWebサイトに入力した個人情報は、権限のない第三者によって取得された可能性があります。これにはあなたの名前が含まれている可能性があります、メールアドレス、電話番号、請求先住所、配送先住所、支払いカードの詳細(カード番号、CVC / CVV、有効期限)
(Teiss記事より引用)※機械翻訳
データ侵害通知(カリフォルニア州司法長官室提出)
キタきつねの所感
世界第3位の音楽レコーディング会社である、ワーナーミュージックがMagecartの(攻撃と思われる)侵害を受け、カード情報を漏えいした様です。※Magecartは、MagentoをはじめとするECサイトに攻撃を仕掛けてクレジットカード情報を盗む複数の専門的サイバー犯罪集団(ハッカー)の総称です
Magecartは、Ticketmaster、Britishairways等、規模な大きな会社のECサイトへの攻撃を成功してきており、彼らの代表攻撃例にワーナーミュージックが追加される事になりそうです。
ワーナーミュージックは、全体の漏えい件数を発表していません。
※意図的な「非開示」な気がします。Bleeping Computerの影響を受けたECサイト名開示の要求に対しても、ワーナーミュージックのスポークスマンは回答拒否しています。
しかし、「複数のサイト」が攻撃を受けた事をデータ侵害通知に書いていますので、新型コロナの影響が大きな米国で、大手音楽会社のECサイトが、3か月侵害を受けた事を考えると、事件の影響範囲が大きい事が予想されます。
データ侵害通知の内容は以下の通りです。
何が起こったのか?
2020年8月5日、不正な第三者が米国を拠点とする多数の電子商取引の
WMGが運営しているが、外部のサービスプロバイダがホストし、サポートしているウェブサイト。これにより、無許可の影響を受けるウェブサイトに入力された個人情報のコピーを取得する可能性のある第三者
2020年4月25日から2020年8月5日までの間にお客様の個人情報が影響を受けたことを断定的に確認することはできませんが、もしかしたらあなたの取引が危殆化している期間中に発生したものであるかどうかを確認する必要があります。もしそうであったならば、これはあなたをあなたの情報を使用して詐欺的な取引が行われています。
どのような情報が関与しているのか?
2020年4月25日から8月5日までの間に、影響を受けたウェブサイトの1つ以上に入力された個人情報。ショッピングカートに商品を入れた後の2020年は、不正な第三者によって取得された可能性があります。これは以下のような可能性があります。
あなたの名前、電子メールアドレス、電話番号、請求先住所、配送先住所、および支払いカードの詳細(カード番号、CVC/CVV、有効期限)が含まれていました。
PayPalでのお支払いは、この事件の影響を受けませんでした。
(データ侵害通知より引用)※機械翻訳
機械翻訳なので少し読みづらいですが、長い割に、8月5日に検知した事や、侵害の期間と漏えいした個人情報の中身(カード情報が含まれる)以外には、めぼしい情報は開示されていません。
しかし「個人情報のコピー」と「ショッピングカートに商品を入れた後」の部分から、商品の清算ページにJavaScriptが仕掛けられ、入力された情報がハッカー(Magecart)に窃取された攻撃であった事が、透けて見えてきます。
当然の事ながらワーナーミュージック側はPCI DSSに準拠していたはずですし、Magecartの攻撃手法についてもある程度警戒はしていたと思います。しかし、現実としては3か月間侵入に気づけなかったのです。
世界的なコングロマリット企業でもハッカーの攻撃を受けてしまう。この意味は大きい気がします。
Magecartの技術が高度であった可能性は別にして、清算ページ(Checkout)周辺にスキマーを仕掛けてカード情報や個人情報を窃取する攻撃に対しては、日本企業も、もっと警戒すべきかと思います。
こうした攻撃が日本のECサイトを襲ってくる可能性を考えると、カード情報非保持(PCI DSS)だけでは守れない、改めてそう感じました。
余談です。セキュリティ会社のGemini AdvisoryがKeeper Magecartグループと呼ばれる新しいハッカーグループ(※注:Magecartは単一では無く複数のカード情報を主に狙うハッカーグループの総称です)のレポートを7月に出しており、570以上のECサイトがスキマーを仕掛けられて被害を出した事が報告されていますが、この中ではMagento CMSが主なターゲットだったと分析されており、ワーナーミュージックもそうであった可能性もあります。
Geminiの記事から引用しますが、Keeperの被害を受けたサイトがMagento CMSを使っていた比率は85.2%にも及びます。
Teissの記事では、ワーナーミュージックが攻撃された可能性がある脆弱点について、以下の様に書いています。
"時代遅れのコンテンツ管理システム(CMS)で運用していたり、パッチが適用されていないアドオンを利用していたり、管理者の資格情報が続々と注入されて危険にさらされていたりすると、Eコマースの加盟店はさまざまな攻撃の媒介に対して脆弱になってしまいます。
"過去6ヶ月間、ジェミニチームは、犯罪的にホストされたドメインを使用した悪意のあるコードの単純な動的注入から、Google CloudやGitHubのストレージサービスを利用し、ステガノグラフィーを使用してアクティブなドメインのロゴや画像に悪意のあるペイメントカード盗用コードを埋め込むものまで、何千ものMagecart攻撃を発見してきました。
(Teiss記事より引用)
CMSが古いバージョン・・あるいはCMSにパッチが当たってないというのは、ワーナーミュージッククラスのグローバル企業では「訴訟級」ですので、もう少し周辺を攻められたのかと想像します。例えばメインのCMSではなく、プラグインの脆弱性、あるいは更に洗練された(APT)攻撃を受けて、外部にリンクされた画像やロゴに仕込まれたスキマー経由での侵害という所が怪しいかなと思います。