Sucuriはこのほど、「Credit Card Skimmer Hidden in Fake Facebook Pixel Tracker」において、Webサイトの広告効果測定ツール「Meta(Facebook)ピクセル」のJavaScriptに偽装したクレジットカードスキマーを発見したとして詳細を報じた。このクレジットカードスキマーはMagento管理パネルの「Miscellaneous Scripts」やWordPressプラグインの「Simple Custom CSS and JS」などに注入されることが多いとされる。

  • Credit Card Skimmer Hidden in Fake Facebook Pixel Tracker

    Credit Card Skimmer Hidden in Fake Facebook Pixel Tracker

クレジットカードスキマーの概要

Sucuriによると、発見されたクレジットカードスキマーは侵害されたWebサイトのCMS(Content Management System)を通じて動的にコンテンツに挿入されるという。スクリプトは標準的なMetaピクセルのコードと類似しており一見すると違いはわからないが、Metaと関係ないWebサイトから追加のスクリプトをロードするコードとされる。

  • 発見されたクレジットカードスキマーのコード - 引用:Sucuri

    発見されたクレジットカードスキマーのコード 引用:Sucuri

このコードは「connect.facebook[.]net」から「fbevents.js」をロードするMetaの標準的なコードを模倣しているが、実際にはreplaceメソッドを使用してドメインを変更し、「b-connected[.]com」から悪意のあるJavaScriptをロードする。悪意のあるJavaScriptはクレジットカードスキマー本体で、高度に難読化されており分析は困難とされる。Sucuriの分析によると、このコードは通販サイトの支払いページを偽の支払いページに差し替える機能を持ち、入力された情報を攻撃者のWebサイトに送信するという。

  • クレジットカードスキマー本体のコード - 引用:Sucuri

    クレジットカードスキマー本体のコード  引用:Sucuri

対策

Sucuriはこのような攻撃からWebサイトを保護するために、次のような対策を推奨している。

  • Webサイトにて使用しているすべてのソフトウェア(CMS本体、プラグイン、テーマを含む)を最新の状態に保つ
  • 管理者アカウントのパスワードを一意で強力なものにし、不審なアカウントがないか確認する。攻撃者はWebサイトの脆弱性やパスワードスプレー攻撃などを使用して侵入し、追加の管理者アカウントを作成することがある。この追加の管理者アカウントは後日追加の攻撃に使用されるため、見覚えのないアカウントは速やかに削除する必要がある
  • ファイルの整合性を確認してWebサイトの改ざんを検出する。自動的に整合性を確認できるセキュリティソリューションの導入が推奨される
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する

その他、イミュータブルバックアップを定期的に作成し、復元できるか確認することも推奨されている。万が一Webサイトが侵害された、または侵害された可能性がある場合はバックドアなど追加のマルウェアを展開されている可能性があるため、専門家やセキュリティ企業などに相談することが望まれている。