Sucuriは8月23日(米国時間)、「Examining Less-Common WordPress Credit Card Skimmers」において、侵害されたWordPressで発見された一般的ではないクレジットカードスキマーについて紹介した。今年に入って、WordPress はスキミング マルウェアの蔓延において他の CMS プラットフォームを抜きんでているという。

  • Examining Less-Common WordPress Credit Card Skimmers

    Examining Less-Common WordPress Credit Card Skimmers

まず、攻撃者がクレジットカードスキマーの開発に多大な時間を費やしていると意識することが重要だという。なぜなら、攻撃者はできるだけ長い間検知されないようにして、Eコマースのユーザーからクレジットカード情報を最大限に盗み出すことを目的としているからだ。通常、攻撃者が同じマルウェアを多くのWebサイトで再利用した場合、セキュリティスキャンで検出される可能性は劇的に高まる。しかしながら、少数のサイトに対して特定のペイロードを作成した場合はより長い期間、隠蔽される傾向にあるとのことだ。

まず、Webサイトのファイル構造内にある既存のプラグインに挿入されるクレジットスキマーが紹介されている。このスキマーは注文の詳細がWebサイトによって処理された時に、裏でデータを悪意のある流出ドメインに送信することが判明している。

次に明確な流出先が存在しない、バックドアとスキマーを組み合わせたようなマルウェアが紹介されている。この不正プログラムは、被害者のWebサイトから盗んだ情報を攻撃者のブラウザに表示することを可能にしているという。

WordPressのデータベースに難読化された悪意のあるJavaScriptgが埋め込まれるという感染も報告されている。この感染はSucuriによって数年にわたって追跡されており、WordPressだけでなくMagentoのサイトにも影響を与えることが確認されている。

WordPressをターゲットにしたスキマーの中には既存のプラグインファイルを改変し、あたかもそのコードがファイル構造内に存在するように見せかける、巧妙で高度なスキマーも確認されている。ただしこのマルウェアが確認されたのは、EコマースWebサイトのごく一部とされている。

Sucuriは、クレジットカードのスキミングを目的としたマルウェアが増加傾向にあり(特にWordPress)、Eコマース向けWebサイトの管理者は、セキュリティを最優先することがこれまで以上に重要になっていると述べている。ソフトウェアを常に最新の状態に保つことや強固なパスワードおよび二要素認証(2FA: Two-Factor Authentication)を採用するなど、EコマースWebサイトを保護するための適切な処置を講じるよう、呼び掛けられている。