
クレジットカードスキミングとは何ですか?
クレジットカードスキミングは、侵害された販売者の Web サイトにインストールされた悪意のあるコードを使用して、Web サイトの顧客がオンライン支払いを完了したときに送信されたクレジットカード情報を盗む手法です。
これを成功させるには、いくつかの技術的な手順を踏む必要があります。まず、攻撃者は様々な攻撃手法に対して脆弱な販売者のウェブサイトを見つけ、侵入する必要があります。ウェブサイトのコンテンツにアクセスしたら、何も知らない顧客から提供されたクレジットカード情報を盗むための悪意のあるコードを追加する必要があります。
スキマーの多くはJavaScriptを使用し、追加されたコードはウェブサイトの正規のコードの中に静かに潜み、クレジットカード情報をじっと待ちます。そして、情報は攻撃者だけが知っているローカルの場所に保管され、そこから収集されます。
スキマーサービス:CaramelCorpのご紹介
昨今のサイバー犯罪者は、考えられるほぼあらゆるサービスを販売しています。DomainToolsの報道によると、ロシアに拠点を置くクレジットカードスキミングサービス「CaramelCorp」がまさにその典型です。
この脅威アクターはサイバー犯罪フォーラムで大きな存在感を示し、見込み客を慎重に審査し、ロシア語を話さない人とは取引しません。また、経験の浅いカード詐欺師へのサービス提供も拒否しています。
CaramelCorp と取引できる人にとって、同社のサービスの生涯サブスクリプションは 2,000 ドルの価値があります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
スキミングサービスの仕組み
展開
DomainTools によると、CaramelCorp は Akamai、CloudFlare、Incapsula などの特定のサイバーセキュリティ サービスを回避できることを保証しているが、この保証は検証されていない。
このサービスは、スキミングされたデータを受信するための簡単に導入可能なゲートウェイと、ダウンタイムを監視する機能を提供します。また、複数のコマースコンテンツ管理システムをターゲットとするJavaScriptメソッドのクイックスタートガイドも提供されます。
コレクション
Caramelスキマーは、他の多くのクレジットカードスキマーに共通するsetInterval()メソッドを使用します。このメソッドにより、侵害されたウェブサイト上のフォームフィールドが部分的にしか入力されていない場合でも、確実にデータを抜き出すことができます。
これはサイバー犯罪者にとって便利です。チェックアウトのプロセス中に商品を購入しないことに決めたターゲットであっても、支払いデータの一部が攻撃者に漏洩することになるからです。
CaramelCorp はまた、検出を回避するためにさまざまなファイル タイプを使用してスキマーを展開できると述べています。
管理
管理パネルでは、侵害を受けたオンラインマーチャントの監視と管理が可能です。パフォーマンスの追跡も可能です。
管理パネルは、不要なコードを排除することで攻撃対象領域を最小限に抑えることに重点を置いています。ログインパネルは、サービスを購入したサイバー犯罪者にアクセスを提供します(図A)。
図A

検出防止対策
スキマーが使用するJavaScriptは難読化されており、ほとんどのスキャナーでは検出されません。この目的を達成するために、CaramelCorpは、サイバー犯罪者コミュニティで既に普及しているJavaScript Obfuscator Toolと呼ばれるソフトウェアを推奨しています。
CaramelCorpからのデータ漏洩
DomainTools は、Javascript コードの一部、ソース マップ ファイル、CaramelCorp クイック スタート ガイドなどのいくつかの要素を含むオープン ディレクトリを見つけてアクセスすることで、CaramelCorp サーバーに保存されているデータへのアクセスを取得しました。
研究者らは、CaramelCorp が、侵害された Web サイトから CMS 管理パネルにアクセスし、簡単なスクリプトを手動で追加するという、非常に単純な展開方法を推奨していることを発見しました (図 B )。
図B

DomainToolsは、発見されたソースマップとJavaScriptファイルに、大量のエンコードされたロシア語テキストが含まれていることを指摘しました。これらのテキストを翻訳した結果、Caramelスキマーの展開方法に関するハウツーガイドが明らかになりました。
詐欺師たちは、スキミング インフラストラクチャを実行するためのドメイン名、SSL 証明書、VPS サーバーを取得する場所に関する推奨事項だけでなく、展開時に回避すべき行動に関する警告も提供しました。
脅威を検知する方法
脅威を検出するのは非常に困難ですが、不可能ではありません。
ウェブコンテンツの整合性は常時チェックする必要があります。静的ファイル、特に.JS、.PHP、.ASPXファイルなどのコードを含むファイルの変更を検知するために、コンテンツフィルタリングとファイル監視セキュリティソリューションを導入する必要があります。ウェブサイトは、すべての静的ファイルを監視し、侵害の可能性がないか確認することをお勧めします。
新しく作成されたファイルや変更されたファイルは、社内の正当なプロセスによるものでない場合は、すぐに確認する必要があります。
攻撃者による初期の侵害を回避するために、Web サーバー ソフトウェア自体は常にパッチを適用し、最新の状態に保つ必要があります。
一部のスキマーは盗んだデータをコントローラーに送信する前にローカルに保存するため、ウェブサーバー上でクレジットカード情報を含む可能性のあるファイルを探すのも良いでしょう。このようなクレジットカード情報の検出は、例えばYARAなどを用いて行うことができます。
最後に、ウェブサイトが侵害されるのを未然に防ぐため、ウェブインフラストラクチャを保護するための一般的なセキュリティ対策をすべて適用する必要があります。ウェブサイトのパネルや管理者向けセクションの認証は、多要素認証のみでアクセスできるようにし、デフォルトの認証情報がある場合はすべて削除する必要があります。マルウェアやファイル脅威を検出するセキュリティソリューションも導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。