「Googleアナリティクス」を使ってハッカーがクレジットカード情報を盗み取った手口とは？

セキュリティ企業のカスペルスキーが、Googleアナリティクスを介したハッキングにより、多数のeコマースサイトからクレジットカード情報などの個人情報が盗み出された可能性があると発表しました。

Web skimming with Google Analytics | Securelist
https://securelist.com/web-skimming-with-google-analytics/97414/

Google web tool used to steal credit cards online -- how to protect yourself | Tom's Guide
https://www.tomsguide.com/news/credit-card-theft-google-analytics

Crooks abuse Google Analytics to conceal theft of payment card data | Ars Technica
https://arstechnica.com/information-technology/2020/06/google-analytics-trick-allows-crooks-to-hide-card-skimming/

Googleアナリティクスは、Googleが無料で提供しているアクセス解析サービスで、主にサイトの所有者がトラッキングIDを使用してサイト訪問者の数や属性などを把握するのに使用します。カスペルスキーによると、これまでも「google-anatytics.com」「google-anaiytlcs.com」「google-analytics.cm」といった、Googleアナリティクスの偽ドメインを利用した攻撃が繰り返されてきましたが、今回は本物のGoogleアナリティクスを介した攻撃が確認されたとのこと。

以下が、攻撃のためにeコマースサイトに埋め込まれたコードの一例です。下線が引かれたGoogleアナリティクスのドメイン名や、トラッキングIDの「UA-XXXX-Y」という記述は正しいため、一見すると何の問題もないように見えますが、実はこのトラッキングIDは「攻撃者のGoogle Analyticsアカウント」に紐付いているとのこと。

また、攻撃者がサイトに埋め込んだ悪意あるコードは、「閲覧者のブラウザが開発者モードの場合はデータ収集を行わない」というアンチデバッグ技術を使用しているため、サイトの管理者やセキュリティ担当者が問題を発見するのは困難だとカスペルスキーは指摘しています。

カスペルスキーはレポートの中で「攻撃者がやらなければならないのは、Googleアナリティクスのアカウントを作成してトラッキングIDを受け取り、トラッキングIDと一緒に悪意のあるコードをウェブページのソースコードに挿入するだけです。あとは、攻撃対象となったeコマースサイトが訪問者が入力したクレジットカード情報などのデータを収集し、それをアカウントに送信してくれます」と述べました。

この手口の対象となったeコマースサイトは、世界各国で合計20以上発見されており、多くはヨーロッパと南北アメリカのものだったとのこと。

カスペルスキーは、この手口の危険性について「Googleアナリティクスは非常に人気のあるサービスであり、無条件に信頼されています」とコメント。Googleアナリティクスを使っているサイトの所有者に対して、以下の対策措置を行うことを推奨しました。

・すべてのソフトウェアを最新の状態に保ち、信頼できないソースからのWebアプリケーションやCMSコンポーネントをインストールしないこと。
・すべての管理アカウントに強固なパスワードを設定すること。
・ユーザー権限を必要最小限に設定すること。
・ユーザーが入力したデータやクエリパラメータをフィルタリングして、サードパーティーによるコードの混入を防ぐこと。
・特にeコマースサイトでは、クレジットカード取引を保護するためのセキュリティ基準であるPCI DSSに準拠した決済システムを導入すること。

また、IT系ニュースサイトArs Technicaは、「ほとんどの場合、エンドユーザーがクレジットカード情報の窃取を発見するのは不可能です。ただし、ほとんどのウイルス対策ソフトはこの手の攻撃を検出することが可能です。また、大抵のeコマースサイトでは、ブラウザを開発者モードにしても問題なく買い物ができるので、そうしておくのも有効です。もっとも、最善の防御策はクレジットカードの請求書を定期的かつ注意深くチェックすることでしょう」と指摘しました。

カスペルスキーのシニアマルウェアアナリストであるVictoria Vlasova氏は、「Googleアナリティクスが世界で最も人気のあるアクセス解析サービスの1つだということは、このサービスに対して多くのサイト管理者がユーザーデータ収集の許可を与えていることを意味しています。そのため、Googleアナリティクスのアカウントを含んだ悪意あるコードは目立たず、見落とされがちです。サイトの管理者はサードパーティーからのソースが正しいからといって、コードの中にそのソースがあっても問題ないと思い込んではなりません」と述べています。