ブラックフライデーが始まり、消費者にとっては狙っていた商品を通常よりも安価に購入できるチャンスが訪れている。しかし、この期間を待ち侘びていたのは消費者だけではない。消費者の個人情報を狙うサイバー攻撃者にとっても、ブラックフライデーは年に1度の稼ぎ時になる。Malwarebytesは11月25日、「Beware card skimmers this Black Friday」において、ブラックフライデー期間はカードスキマーに注意するようにショッピングサイトの運営者および消費者に呼びかけている。
Malwarebytes Labsの記事は、英国の政府関連機関であるNational Cyber Security Center(NCSC)から発表された次のガイダンスに基づいて書かれたものである。
このガイダンスはオンラインショッピングサイトを運営する小売業者向けに書かれたもので、Webサイトの脆弱性を利用してチェックアウトページを迂回させ、個人情報やクレジットカード情報などを盗む手口を紹介している。NCSCでは、9月末までに侵害を受けたオンラインショッピングサイト4151件を積極的に特定し、小売業者に対して’警告したという。
NCSCのガイダンスでは、特にeコーマースプラットフォームの「Magento」を名指しで警告している。これは、NCSCによって特定されたスキミングに使用されるオンラインショップの大部分が、Magentoの既知の脆弱性を悪用して侵害されていたことによるものだという。
ただしMalwarebytes Labsは、Magentoの利用者だけが必要なわけではないと強調している。これは当然で、サイバー犯罪者がMagentoだけをターゲットにして攻撃を仕掛けてくるという保証はどこにもない。重要なことは、既知の脆弱性に対する修正が利用可能になったときに、eコマースサイトに迅速にパッチを適用することにほかならない。
ショッピングサイトを利用するユーザー側も、上記のリスクを十分に理解しておく必要があるだろう。利用しているサイトに脆弱性が含まれているかどうかを知ることは容易ではないが、ログイン時やチェックアウト時に不審な挙動がないかを十分に注意し、怪しいと感じたらすぐに利用を中止するという程度の注意深さは最低限でも備えておきたい。運営者が、既知の脆弱性への対処について積極的に情報公開を行っているかという点も、信頼度を図る指針になるかもしれない。