Magento Open SourceおよびAdobe Commerce バージョン2のインストールにおける「PolyShell」脆弱性を悪用した攻撃が進行中であり、脆弱なストアの半数以上が標的となっています。 eコマースセキュリティ企業であるSansecによると、ハッカーはこの致命的なPolyShellの問題を、公開からわずか2日後の先週から大規模に悪用し始めました。 「PolyShellの大規模な悪用は3月19日に始まり、Sansecは現在、脆弱なストア全体の56.7%でPolyShell攻撃を発見しています」とSansecは述べています。 研究者たちは以前、問題はMagentoのREST APIにあり、カートアイテムのカスタムオプションの一部としてファイルアップロードを受け入れることで、Webサーバーの設定が許可している場合に、ポリグロットファイルがリモートコード実行または保存されたクロスサイトスクリプティング（XSS）によるアカウント乗っ取りを可能にすると報告していました。 Adobeは2026年3月10日にバージョン2.4.9-beta1で修正プログラムをリリースしましたが、まだ安定版には到達していません。BleepingComputerは以前、AdobeにPolyShellに対応するセキュリティアップデートが本番バージョンでいつ利用可能になるか問い合わせましたが、回答はありませんでした。 一方、SansecはPolyShellに対して脆弱なWebストアを標的としたスキャンを行っているIPアドレスのリストを公開しています。 ### WebRTCスキマー Sansecは、PolyShellを悪用していると疑われる攻撃の一部で、攻撃者がWeb Real-Time Communication（WebRTC）を使用してデータを窃取する新しい決済カードスキマーを配信していると報告しています。 WebRTCはHTTPではなくDTLSで暗号化されたUDPを使用するため、「connect-src」のような厳格なContent Security Policy（CSP）制御を備えたサイトでも、セキュリティ制御を回避する可能性が高くなります。 このスキマーは、ハードコードされたコマンド・アンド・コントロール（C2）サーバーにWebRTC経由で接続する軽量なJavaScriptローダーであり、偽造されたSDP交換を埋め込むことで通常のシグナリングをバイパスします。 暗号化されたチャネルを介してセカンドステージのペイロードを受信し、主に既存のスクリプトnonceを再利用するか、unsafe-evalまたは直接スクリプトインジェクションにフォールバックすることで、CSPをバイパスしながら実行します。実行は「requestIdleCallback」を使用して遅延され、検出を減らします。 Sansecは、このスキマーが1000億ドル以上の価値がある自動車メーカーのeコマースウェブサイトで検出されたと指摘しており、同社は通知に応じませんでした。 研究者たちは、防御者がこれらの攻撃から保護するのに役立つ、侵害の兆候（IOC）のセットを提供しています。 <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: ランサムウェアの暗号化が38%減少した理由</a></h2> <p>マルウェアはますます巧妙になっています。Red Report 2026では、新しい脅威がサンドボックスを検出し、平然と潜伏するためにどのように数学を使用しているかが明らかになります。</p> <p>110万件の悪意のあるサンプルの分析をダウンロードして、トップ10のテクニックを明らかにし、あなたのセキュリティスタックが盲目になっていないか確認してください。</p> </div> </div>