電子商取引サイトの決済ページは安全に保護されていると思われた矢先、ハッカーたちはすでに従来の通信プロトコルを超越した攻撃を仕掛けてきた。サイバーセキュリティ企業のSansecは最近…警告を発するこの報告書は、新たなタイプのウェブスキミング攻撃が世界的に蔓延していると指摘している。従来の悪意のあるスクリプトとは異なり、この攻撃はピアツーピアのWebRTC(Webリアルタイム通信)メカニズムを利用してクレジットカード情報をスキミングする初の攻撃であり、既存のネットワーク監視ツールやコンテンツセキュリティポリシー(CSP)を巧妙に回避している。過去2か月間で、数十億ドル規模の時価総額を持つ5つの多国籍企業が被害に遭っており、その中には米国の大手銀行3行と、時価総額1000億ドルを超える自動車メーカーも含まれている。
なぜWebRTCなのか?それは、CSP(クラウドサービスプロバイダー)やHTTP監視を回避するための完璧な隠蔽手段となるからだ。
過去のMagecartを使ったオンライン攻撃やカードスキミング攻撃は、主に悪意のあるJavaScriptを埋め込み、盗んだデータをHTTPリクエスト経由でハッカーのC2サーバーに送信するという手法が用いられていました。しかし、企業によるコンテンツセキュリティポリシー(CSP)や各種Webアプリケーションファイアウォール(WAF)の普及に伴い、この手法の成功率は低下しています。
しかし、Sansecの研究者たちは、ハッカーたちが今回は巧妙にもWebRTCデータチャネルに切り替えていたことを発見した。
• 非従来型の交通:WebRTCは、従来のHTTP接続ではなく、DTLSで暗号化されたUDP通信を使用します。ほとんどの企業向けネットワークセキュリティツールはHTTPトラフィックに対してのみディープパケットインスペクションを実行するため、WebRTCトラフィックは実質的に目に見えません。
• CSPの無法地帯:WebRTCはペアリング接続メカニズムであり、その動作は現在、主流のCSP仕様の周辺で行われています。ChromeブラウザはWebRTCを管理するための特定のCSPコマンドのサポートをテストし始めていますが、業界標準が確立されていないため、実際にWebRTCを導入しているウェブサイトはほとんどなく、ハッカーが容易に防御を回避できる状況となっています。
PolyShellの脆弱性を組み合わせる:侵入から資金窃盗に至る秘密の戦術
この巧妙な攻撃は前例がないわけではない。Sansecは、ハッカーがeコマースサイトに侵入した経路は、最近蔓延しているPolyShellの脆弱性である可能性が高いと指摘している。この脆弱性により、Adobe CommerceとMagentoのeコマースプラットフォームの約60%に悪意のあるPHPコードがアップロードされている。
実際の攻撃実行段階において、ハッカーたちは極めて高度な隠密スキルを発揮した。
• 軽量積載:初期段階では、非常に軽量なJavaScriptローダーのみが組み込まれ、既存のスクリプトnonceを再利用するか、unsafe-evalを使用することで、基本的なCSPの制限が回避されます。
• 実行遅延 (requestIdleCallback):動作検出メカニズムによる検出の可能性を減らすため、マルウェアは意図的にブラウザの遅延実行メカニズムを悪用し、システムリソースがアイドル状態のときにのみ密かに起動する。
• 資金の静かな窃盗:WebRTC接続が確立され、第2段階の悪意のあるペイロードが受信されると、プログラムはチェックアウトページに潜伏し、ユーザーのクレジットカード番号、有効期限、セキュリティコードを傍受し、UDP通信を介してそれらを直接パッケージ化してハッカーのサーバーに送信します。
視点の分析
Sansecが明らかにした新たなWebRTCスキミング攻撃は、Webスキミングというオンラインスキミング攻撃手法における重要な「技術的アップグレード」と言える。
従来、電子商取引におけるスキミング攻撃への対策は、一般的にCSP(クラウドサービスプロバイダー)が「不正な外部ネットワーク接続をブロック」し、「異常なHTTP通信を監視」することに依存していた。しかし今回は、ハッカーは基盤となる通信プロトコルを直接悪用し、元々はビデオ通話やP2Pファイル転送用に設計されたWebRTC技術を用いて、暗号化されたUDPパケットに悪意のあるデータを埋め込んで送信した。まるで、悪意のあるプログラムがヘリコプター(WebRTC)で逃走した一方で、防御機構はまだ通常の道路(HTTP)を監視しているようなものだ。
これは、企業のIT部門とサイバーセキュリティチームにとって深刻な警告です。特にAdobe CommerceやMagentoを使用しているeコマースプラットフォームは、PolyShellの脆弱性をできるだけ早く修正するだけでなく、ネットワーク保護メカニズムがHTTP以外のトラフィックを解析できるかどうかを再検討する必要があります。自動車メーカーや大手銀行など、それぞれ数千億ドル規模の企業が被害に遭っていることから、これはもはや中小規模のeコマース企業を無差別に狙ったフィッシング攻撃ではなく、高価値のターゲットを狙った高度で標的を絞った攻撃であることがわかります。
