約100のオンラインストアが、1x1ピクセルのSVG画像にクレジットカード情報を盗むコードを隠蔽した新しいキャンペーンの影響を受けています。ユーザーがチェックアウトボタンをクリックすると、カードの詳細と請求情報を盗むように設計された、もっともらしいオーバーレイが表示されます。 ### PolyShell脆弱性の悪用 このキャンペーンは、eコマースセキュリティ企業である**Sansec**によって発見されました。同社の研究者は、攻撃者が3月中旬に開示されたリモートコード実行（RCE）の脆弱性である**PolyShell**を悪用して、初期アクセスを得た可能性が高いと考えています。  **PolyShell**は、**Magento Open Source**および**Adobe Commerce**の安定バージョン2のすべてのインストールに影響を与え、認証されていないコード実行と完全なアカウント乗っ取りを可能にします。Sansecは以前、脆弱なストアの半数以上が**PolyShell**攻撃の標的になっていると警告していました。一部の攻撃では、WebRTCを使用してステルス性の高いデータ漏洩を行う決済カードスキマーが展開されていました。 ### マルウェア注入のためのSVG Onloadハンドラ この最新のキャンペーンでは、マルウェアはターゲットウェブサイトのHTMLに直接、`onload`ハンドラを持つ1x1ピクセルのSVG要素として注入されます。Sansecによると、`onload`ハンドラには、`atob()`コール内でbase64エンコードされ、`setTimeout`を介して実行される、スキマーペイロード全体が含まれています。この手法は、セキュリティスキャナーが通常フラグを立てる外部スクリプト参照を回避するため、検出がより困難になります。 ###Fake Checkout Overlay 侵害されたストアで、不注意な購入者がチェックアウトボタンをクリックすると、悪意のあるスクリプトがそのアクションを傍受し、偽の「Secure Checkout」オーバーレイを表示します。このオーバーレイには、カード詳細フィールドと請求フォームが含まれており、機密性の高い支払い情報を収集するように設計されています。 この不正なページで送信された支払いデータは、Luhnアルゴリズムを使用してリアルタイムで検証されます。その後、盗まれたデータはXOR暗号化され、base64で難読化されたJSON形式で攻撃者に漏洩します。  *出典: Sansec* Sansecは、オランダの**IncogNet LLC**（AS40663）でホストされている6つの漏洩ドメインを特定しました。各ドメインは、10〜15の確認された被害者からデータを受信しています。 ###緩和戦略 この進行中のキャンペーンから保護するために、Sansecは次のアクションを推奨しています。 * `atob()`を使用した`onload`属性を持つ隠しSVGタグを探し、サイトファイルから削除してください。 * ブラウザの`localStorage`に`_mgx_cv`キーが存在するかどうかを確認してください。これは、潜在的な支払いデータ窃盗を示している可能性があります。 * `/fb_metrics.php`または不明な分析のようなドメインへのすべてのリクエストを監視およびブロックしてください。 * IPアドレス`23.137.249.67`および関連ドメインへのすべてのトラフィックをブロックしてください。 ### Adobeの対応と推奨事項 執筆時点では、**Adobe**は**Magento**のプロダクションバージョンにおける**PolyShell**の脆弱性に対処するためのセキュリティアップデートをリリースしていません。修正は、プレリリース版の2.4.9-alpha3+でのみ利用可能です。 **Adobe**はこの問題に関するコメントの要求に応答していません。 ウェブサイトの所有者および管理者は、利用可能なすべての緩和策を適用し、可能であれば**Magento**を最新のベータリリースにアップグレードすることを強く推奨します。 自動ペネトレーションテストは6つのサーフェスのうち1つしかカバーしません。 自動ペネトレーションテストはパスが存在することを証明します。BASは、コントロールがそれを停止するかどうかを証明します。ほとんどのチームは、一方なしで他方を実行します。 このホワイトペーパーは、6つの検証サーフェスをマッピングし、カバレッジが終了する場所を示し、プラクティショナーに任意のツール評価のための3つの診断質問を提供します。