新しい**Magecart**キャンペーンが、eコマースサイトが支払い処理や分析に依存しているサービスである**Stripe**と**Google Tag Manager (GTM)**を積極的に悪用しています。これにより、攻撃者はクレジットカードスキミングの操作を正規のウェブトラフィックにシームレスに統合でき、検出を大幅に困難にしています。 ### 欺瞞的な戦略 eコマースセキュリティ企業**Sansec**の研究者たちは、この新しいマルウェアファミリーを発見し、暗黙的に信頼されているドメインである`googletagmanager.com`と`api.stripe.com`に依存していることを指摘しました。オンラインストアは通常、通常の操作のためにこれらのドメインをホワイトリストに登録しており、意図せずに悪意のあるアクティビティの盲点を作り出しています。 **Sansec**は、「ペイロードと盗まれたカードの両方が`api.stripe.com`を通過します。ストアはデフォルトでそのドメインを許可しているため、スキマーは、そうでなければ未知のスキマー ドメインへのトラフィックをフラグ付けするであろう Content Security Policy ルールやネットワークフィルターをすり抜けます。」と説明しています。 **GTM**は、ウェブサイト所有者がソースコードを直接変更することなく、分析、広告、トラッキング用のスクリプトを管理できるようにする広く使用されているシステムです。**Stripe**は、オンライン取引で広く利用されている支払い処理プラットフォームです。 ### スキマーの動作方法 悪意のあるコードは、正規に見える**GTM**コンテナに埋め込まれています。買い物客がチェックアウトページにアクセスすると、スキマーがアクティブになり、**Stripe**のAPIをキューに入れて特定の顧客レコード（例：`cus_TfFjAAZQNOYENR`）を取得します。このレコードのメタデータフィールドから、マルウェアはJavaScriptコードを読み取り、再構築し、それを`new Function()`を使用して実行します。 このカードスキマーは、特に**Magento/Adobe Commerce**のチェックアウトページを標的としています。クレジットカード番号、有効期限、CVVコード、顧客名、請求先住所、メールアドレス、電話番号など、幅広い支払い情報と個人情報をキャプチャしようとします。  ### 潜伏的なデータ流出 即時の流出ではなく、盗まれたデータはまず単一の文字列に連結され、XOR操作を使用して難読化され、ローカルに保存されます。別のルーチンがデータの取得を処理し、各ページロード後に実行され、その後毎分実行されます。 このルーチンは難読化されたデータブロブを分割し、新しい**Stripe**顧客オブジェクトを作成し、盗まれた情報をそのメタデータフィールドに保存します。本質的に、侵害された各支払いカードは、攻撃者の**Stripe**アカウント内の偽の顧客レコードとなり、**Stripe**自体が不正なデータのストレージバックエンドに変貌します。 データが攻撃者の**Stripe**アカウントに正常にコピーされると、ローカルファイルは消去されます。この重要なステップにより、攻撃の痕跡が排除され、重複アップロードが防止され、フォレンジック分析がより困難になります。  ### Google Firestoreバリアント **Sansec**は、データの保存と取得に**Stripe**の代わりにクラウドデータベースサービスである**Google Firestore**を利用するこのキャンペーンのバリアントも発見しました。このバージョンでは、ペイロードは`braintree-payment-app`というプロジェクト内の`tracking/captcha`という名前のFirestoreドキュメントから取得されます。盗まれたデータは、別の`localStorage`キー（`_d_data_customer_`）に保存されます。ドキュメントやプロジェクトにこのような無害な名前を使用することで、マルウェアは正規の支払いトラフィックやボット対策トラフィックにさらに溶け込むことができます。 ### タイムラインと保護 スキマーペイロードを含む**Stripe**顧客レコードは、2025年12月24日に作成されたと報告されており、この高度な操作がかなりの期間活動していた可能性を示唆しています。ユーザーにとって、このようなリスクに対する主な防御策は、事前に設定された支出限度額を持つワンタイム仮想カードを使用することであり、侵害された支払い情報のインパクトを大幅に軽減できます。