当社では技術提携をしているイスラエル企業のブログを紹介しています。

今回は当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. （旧Verint Systems Ltd.）のブログ『通販サイトに潜む脅威』を紹介します。

みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Cognyte Research Labs@Cognyte | 2021年1月10日

年間を通し、世界にはさまざまなギフトシーズンやショッピングシーズンが存在します。

クリスマスシーズン、ブラックマンデーなど、普段以上に買い物をする時期があります。

毎年、その時期になると、サイバー犯罪者は通販サイトやそれに集まる人々を標的にするために、クレジットカード情報を盗み取るためのフィッシング詐欺や、マルウェアを拡散させるためのマルスパムキャンペーンなど、さまざまな方法を駆使した攻撃が展開されます。実際、2019年のダークウェブ上のクレジットカード取引の調査では、専用のマーケットプレイスで取引された盗難カード数は11月の時点で3200万以上であったと報じられています。（ただし、盗まれたデータが複数のマーケットプレイスで販売されている可能性が高いため、重複を考慮する必要があります。）

このブログでは通販サイトでの買い物をより安全に楽しめるよう、いくつかのヒントを提供したいと思います。

また、最近の攻撃や攻撃者がどのように通販サイト利用者や運営企業を標的にしているかについても説明していきます。

あなたは通販で買い物をしますか?

するのであれば、以下の「Dos and Don'ts」に気を付けましょう。

◆フィッシング攻撃には注意を払いましょう。特にアカウント情報の確認や更新を求めるメール、また無料アイテムやクーポンを取得するための登録を促してくるメールには充分注意してください。

◆通販サイトのURLが公式サイトであることを確認しましょう。

◆通販サイトがセキュリティで保護されていることを確認しましょう。URLがHTTPSになっているか、信頼できる証明書かなどを確認しましょう。

◆身に覚えのない送信元から送信された添付ファイルは開封しないでください。特に開封するためにマクロを有効にするよう求めてきたり、編集権限を要求してきたりするメールは要注意です。

◆特にギフトシーズンやショッピングシーズン中は、いかなる広告もクリックすることはお勧めしません。

◆非公式のアプリストアからのアプリのダウンロードはしないでください。特に通販関連のアプリは要注意です。

◆アプリのアクセス許可を定期的に確認し、OSも定期的に更新しましょう。

◆運営会社が2FA（2要素認証）またはワンタイムパスワードを提供している場合は使用しましょう。

目にしているものが必ずしも手に入るものではない？　偽サイトと偽ドメイン

メールやSNSを介して実行されるスパムメールやフィッシング詐欺のキャンペーンでは人気ブランドや人気サイトの偽ドメインが使われています。2019年には約124,000に及ぶ疑わしいドメインが検出され、26のブランド名や企業名が悪用されました。最も悪用されていたのはApple, Amazon, Targetの三社でした。2020年11月、私たちが「Amazon」という単語で登録されているドメインの数を調査した結果、実際のAmazon社に公式に接続されていないドメインが600以上も検出されました。多くはまだ「運用可能」な状況にはないようですが、実際に使われている痕跡もないため、一部は疑わしいサイトのように見えます。例を挙げてみましょう。verification-amazonservices.com(複数のアンチウィルスソリューションでフィッシングサイトとして検出)、account-verificationamazon.com、amazon-login-verify.com(やはりアンチウィルスソリューションによって検出)、amazon-black-friday.com(2010年に作成され、その後、毎年再登録)などがあります。

偽サイトは、通常、正規の通販サイトと同様の色使いやインターフェイスを採用しています。従って、クレジットカードを使用して商品を購入する前に、ウェブサイトのドメインまたはURLを確認することを強くお勧めします。

WEBスキミング攻撃（別名:Magecart攻撃)を回避するためにもシステムは常に最新バージョンに

WEBスキミングと呼ばれる手法は、最近ではクレジットカード情報を盗み出すために実行されている最も一般的な手法の1つとなっています。サイバー犯罪者は、通常、ユーザのクレジットカード情報をキャプチャしてオペレータに送信するためのコードを挿入します。そのために、悪用されるのが通販サイトまたはオンライン決済用のサイトの脆弱性です。盗まれた情報はダークウェブで取引されたり、何かの購入のために利用されていることがほとんどです。

Magecartとはこの種の攻撃やMagento（ECサイトの構築に用いられるソフトウェアでCVE-2017-7391やCVE-2016-4010などの脆弱性が存在）の古いバージョンを使っているプラットフォームを標的とするサイバー犯罪グループに与えられた名称で、侵害されたプラットフォームに埋め込まれた悪意のあるJavaScriptコードを使用します(ソース: www.darkreading.com　www.trustwave.com)。実際、Magecartによる攻撃は近年増加傾向にあり、2020年9月のとある週末だけでも、およそ2000の通販サイトが標的とされたと報告されています。

他にも、管理者の認証情報を使用してECネットワークにアクセスする手法もWEBスキミング攻撃では用いられています。管理者情報は、フィッシング、ブルートフォース攻撃、またはJavaScriptコードを使ってユーザを悪意のあるウェブサイトにリダイレクトするクロスサイトスクリプティング攻撃によって取得することが可能です。通販サイトへのアクセス情報もダークウェブ上のフォーラムで取引されており、アクセス情報を入手した攻撃者はユーザ情報を含むデータベースにアクセスできるようになります。

注目すべきことに、このWEBスキミング攻撃は、国家を背景に持つサイバー犯罪組織にも使われていることがわかっています。2020年7月、北朝鮮のLazarusと呼ばれる犯罪組織が、世界中の複数の通販サイトに対する一連のWEBスキミング攻撃の背後にあることをリサーチャーたちが確認しています。

オンライン決済プラットフォームを運営する企業は、それらを常に更新し、安全な状態に保つことが求められています。また、そのような悪意のあるインジェクションを検出し、疑わしい動きを瞬時にブロックするための監視ツールを使用することも推奨されています。

ショッピングシーズンはスパムシーズン: スパムキャンペーンでマルウェアを拡散

2018年のショッピングシーズンにEmotetを拡散させる大規模なスパムキャンペーンが世界中で展開され、特に北米やラテンアメリカ、イギリスの通販サイト利用者が狙われたと報告されています。「Emotet」とは2014年以降に使われるようになった悪名高いマルウェアで、当初はオンラインバンキングを標的とした「トロイの木馬」として検出されていました。しかし、最近では、追加のトロイの木馬やランサムウェアのダウンローダー、もしくはドロッパーとしてよく使用されています。通常、世界規模のスパムキャンペーンやユーザにマクロの無効化を求める悪意のある添付ファイルを介して拡散されています。2019年のショッピングシーズンに米国では約1億3000万件のマルウェア攻撃と約640,000件のランサムウェア攻撃が検出されています。過去数年間で確認されてきたことから、マルウェアを操る犯罪者は通販関連のメールや悪意のある添付ファイルを介して対象者に攻撃を仕掛けてくるものと思われます。（編注：Emotetは国際的な共同作戦により、2021年1月にテイクダウンされました）

世界はモバイルの時代: 悪質なモバイルアプリの台頭

毎年、悪意のある通販関連のアプリがショッピングシーズン中に多くのユーザを攻撃対象として展開されています。公式アプリストアからアプリをダウンロードし、レビューを確認することをお勧めします。とは言うものの、2020年1月には、感染した端末の所有者になり代わった偽のアプリレビューが複数Google Playに掲載されていることが判明しました。これは「Shopper」と呼ばれる新しいトロイの木馬によって感染したモバイル端末であることがわかっており、アプリの評価にも疑問を投げかける事態になってしまいました。この新型のトロイの木馬は、Google Play Protectの機能をオフにすることもわかっています。これにより、安全性を確かめることなく、アプリがダウンロードできてしまうため、被害者のGoogleまたはFacebookアカウントを悪用して人気のある通販サイトやエンタメアプリに登録したり、広告を広めたりすることを可能にしてしまいます。この新型のトロイの木馬はロシア、ブラジル、インドなど、世界中で感染が確認されています。

2019年のショッピングシーズンにも、クーポンや割引といった通販に関連したお得情報でユーザを引き込む悪意のあるAndroidアプリが確認されています。感染したモバイル端末からオペレータに機密情報を送信したり、悪意のある広告を広めるために使用されるアドウェアと呼ばれるマルウェア(ソース:securitynews.sonicwall.co&www.trendmicro.com)が組み込まれていることがわかっています。

つまりは「細心の注意を」

ショッピングシーズンは、誰にでも平等に訪れます。

もちろん、好機を逃さず、利益を最大化しようとするサイバー犯罪者を含むすべての人に。

買う側が安全なショッピングを行うためには、リスクに対する知識が鍵となるのに対し、運営側は金銭的損失、評判への悪影響による企業価値の低下、顧客からの信頼を失うことなど、マイナス面の影響を避けるために、ショッピングシーズン前には追加のセキュリティ対策を講じる必要があります。

「大切なお客様の登録情報が狙われているかもしれない」

「自社のブランドを語った偽サイトにより、企業価値に傷がつくかもしれない」

サイバー脅威インテリジェンスの専門家の力を借りて、セキュリティ態勢を整え、リスクを軽減するのも1つの手段です。SOMPO CYBER SECURITYはイスラエルのCognyte Software Ltd.（旧Verint Systems Ltd.）と技術提携をして、ダークウェブ上などに出回る膨大な量のデータから調査対象企業に関連した情報のみを精査して、脅威インテリジェンスとして提供しています。