Magecartサイバー攻撃グループが、Google Tag Manager(GTM)を悪用した新たなクレジットカード情報窃取攻撃を展開している。この事実は2025年2月11日、セキュリティ企業Sucuriの研究者によって報告された。
攻撃は、Magentoプラットフォームを使用するeコマースサイトを標的とし、正規のGoogle Tag ManagerとGoogle Analyticsのトラッキングスクリプトを装った不正コードを使用している。現時点で少なくとも6つのウェブサイトで被害が確認されている。
チェックアウトページでユーザーが入力したクレジットカード情報は、攻撃者が管理するリモートサーバーに送信される仕組みとなっている。不正なドメイン「eurowebmonitortool[.]com」は、すでに15のセキュリティベンダーによってブロックリストに登録されている。
from:Magecart Attackers Abuse Google Ad Tool to Steal Data
【編集部解説】
Magecartによる新たな攻撃手法について、複数の信頼できるセキュリティ企業の調査結果から、より詳細な状況が明らかになっています。
Sucuriの調査によると、この攻撃は2025年初頭から確認されており、少なくとも6つのeコマースサイトで被害が発生しています。一方、過去の類似事例では、2021年にGemini Advisoryが316のeコマースサイトで同様の攻撃を確認しており、約88,000件のカード情報が盗まれたことが報告されています。
Google Tag Managerを悪用する巧妙な手口
この攻撃が特に注目される理由は、GoogleのTag Manager(GTM)という正規のサービスを悪用している点にあります。GTMは多くのウェブサイトで利用されている信頼性の高いツールであり、マーケティング担当者がウェブサイトの解析タグを管理するために広く使用されています。
攻撃者はこのGTMの信頼性を逆手に取り、正規のトラッキングコードに見せかけた不正なスクリプトを埋め込んでいます。これにより、一般的なセキュリティ対策をすり抜けることに成功しています。
進化するMagecart攻撃の実態
Magecartグループの攻撃手法は年々進化しており、2024年には複数の新しい手法が確認されています。特に注目すべきは、正規のサービスを悪用することで検知を回避する傾向が強まっていることです。
この攻撃では、Base64エンコーディングや難読化技術を組み合わせることで、コードの解析を困難にしています。さらに、モバイルユーザーのみを標的にするなど、より選択的な攻撃も確認されています。
eコマース業界への影響と対策
この攻撃手法の出現により、eコマース事業者は新たなセキュリティ対策の見直しを迫られています。特に、サードパーティスクリプトの管理方法や、決済システムのセキュリティ強化が急務となっています。
対策として、GTMの定期的な監査や、不審なタグの削除、ウェブサイトの完全なスキャンなどが推奨されています。また、Magentoプラットフォームを使用している事業者は、最新のセキュリティパッチの適用が特に重要です。
今後の展望
この種の攻撃は、正規サービスを悪用する特性上、完全な防御が難しいという課題があります。そのため、継続的なモニタリングと迅速な対応体制の構築が重要となってきます。
今後は、AIを活用した異常検知システムの導入や、ゼロトラストセキュリティの考え方に基づいた多層的な防御戦略の採用が進むと予想されます。