Sucuriは9月21日(米国時間)、「Ecommerce Security: Fake Jquery Used as CC Scraper」において、ECサイト構築プラットフォーム「Magento」からクレジットカード情報を窃取する方法を紹介した。攻撃者によって侵入されたサーバはさまざまな方法で利用者からクレジットカード情報の窃取を行うことが可能と説明されている。
Sucuriは昨年の夏が終わってから、ECサイト経由でクレジットカード情報の窃取を試みる攻撃が増加したことを観測。同社は今年も同様の傾向が発生するだろうと踏んで、数カ月前から調査を行ってきたと説明している。そうした調査の一環として、Magentoからクレジットカード情報を窃取する方法を紹介している。
MagentoはECサイトを構築するための主要なソフトウェアの1つ。このため、攻撃の対象にもなりやすい側面を持っている。ECソフトウェアがいくらセキュアに構築されていたとしても、攻撃者によってサーバに侵入されてしまえばクレジットカード情報を窃取するためのさまざまな方法を仕込まれてしまう。こうしたコードは仕込まれたことがわからないように工夫されており発見するのが難しい。
関連するソフトウェアを常に最新版へアップグレードすること、管理側のアカウント管理を徹底することなどの取り組みを行い、サイトに不正侵入されないように注意することが望まれる。