Akamai Technologiesはこのほど、「The Art of Concealment: A New Magecart Campaign That’s Abusing 404 Pages|Akamai」において、サイバー犯罪集団であるMagecartの新しいキャンペーンを検出したと報じた。このサイバー攻撃のキャンペーンは、Webサイトの404エラーページを操作して悪意のあるコードを隠蔽する特徴があるという。

  • The Art of Concealment: A New Magecart Campaign That’s Abusing 404 Pages|Akamai

    The Art of Concealment: A New Magecart Campaign That’s Abusing 404 Pages|Akamai

Akamai Technologiesによると、このキャンペーンの標的はMagentoとWooCommerceのWebサイトだったという。犯罪グループは数週間前あるいはそれ以前から活動していたとみられ、これまでに遭遇したことのない高度な隠蔽技術を用いていたとのこと。

Magecartの攻撃は通常、標的となるWebサイトの脆弱性を悪用、または、Webサイトが利用しているサードパーティのサービスに感染する方法を取る。今回の攻撃では、悪意のあるコードがファーストパーティリソースの1つに挿入されたため、すべての被害者のWebサイトが直接悪用されたとみられている。

Akamai Technologiesによると、今回のキャンペーンでは3種類の攻撃が観察されている。そのうちの一つに404エラーページを使用して悪意のあるコード隠蔽したものがあり、これまでに確認されていない新しい隠蔽技術とされる。Magecartは通常、Webページに挿入された悪意のあるコードから攻撃の主体となるコードを読み込んで実行する手順を踏む。こうすることで検出の回避を試みているとみられ、これまで難読化されたスクリプトや画像に偽装したスクリプトを読み込むことが確認されている。

今回Akamai Technologiesを驚かせた新しい手法では、読み込み先のデータが存在しない。つまり、通常の404エラーページを取得する。このため、悪意のあるコードは機能していないものとして見逃してしまうところだが、実際は応答される404エラーページに攻撃の主体となるスクリプトが埋め込まれており、これをロードして実行する仕組みになっている。

この新しい攻撃手法の発見について、Akamai TechnologiesはWebスキミング技術が常に進化している事実を示しているとして注意を促している。攻撃者は検出を回避するためのより優れた方法を開発し続けており、従来のセキュリティソリューションでは検出がますます困難となっている。