偽サイトをサイバー犯罪集団がさらに改ざん？　偽オリンピックチケット販売サイトの脆弱性を狙った攻撃が確認される

「Magecart」の使用する不正スクリプトが発見されたウェブサイト。海外では指定業者にしか許可されていないはずのオリンピックチケット売買を謳っており、偽サイトと判断できる

　偽の東京オリンピックチケット販売サイトにサイバー犯罪集団「Magecart」が使用する不正スクリプトが埋め込まれていることをトレンドマイクロが発見した。この偽サイト上で入力したクレジットカード情報などは、偽サイトを作成したサイバー犯罪者だけでなく、Magecartの手にも渡る恐れがある。

複数のSNSアカウントやチャットサポートまで用意する偽サイト

　Magecartは、主にECサイトに不正なコードを注入し、ユーザーが入力した支払い情報を窃取する攻撃を仕掛けるサイバー犯罪集団だ。

　標的となった偽サイトは「Olympic Tickets 2020」という名称で東京オリンピックのチケット販売サイトを名乗っていたが、2月3日時点でアクセス不可能な状態になっている。トレンドマイクロによれば、HTTPSの実装や「運営会社」の表示もあり、サイトを一見しただけでは不審点が見つけにくいという。

　しかし、海外で東京オリンピックのチケットを販売できる業者は決められており、また、東京オリンピックに関しては、東京オリンピック･パラリンピック競技大会組織委員会が用意する公式リセールサービス以外での転売は禁じられている。このことから、トレンドマイクロではオリンピックチケット販売を詐称する偽サイトと判断している。

　同サイトはGoogle翻訳を利用して表示言語を変える機能を備えるほか、ブログや各種ソーシャルメディア（Twitter、Facebook、Instagram、Pinterest）のアカウントやチャットサポートもそろえるなど巧妙に構築されていた。一方でチケット購入時に入力するクレジットカード番号などの決済情報に対しての有効性チェックを行っていないため、入力した情報の有効性に関わらず、完了画面が表示されることがあった。

偽サイトのTwitterアカウントの表示例

偽サイトに実装された「チャットサポート」に話しかけても「時間外」で有効な返信は確認できなかったという

　同サイトでは、連絡先として「Independent Ticket Expert」を名乗る米国の会社名を表示しており、他の3つのウェブサイトでも連絡先として使用されていた。これら3つのウェブサイトは全て欧州サッカーのチケット販売サイトのように見えるが、前述の偽の東京オリンピックチケット販売サイトとほぼ同一の作りとなっており、同様の偽サイトだった。

偽の東京オリンピックチケット販売サイトと同一の連絡先となっているチケット販売サイトの例。電話番号やGoogle翻訳を利用した多言語表示対応など共通点が多かった

偽サイトの脆弱性を狙った攻撃か？　不正スクリプトに「Magecart」の特徴

　トレンドマイクロが偽の東京オリンピックチケット販売サイトを最初に確認した時点ではMagecartが使用する不正スクリプトが含まれていたが、より詳細な調査を行った1月27日時点ではすでに不正スクリプトは存在していなかった。

　偽サイトを構築したのがMagecartだった場合、被害者が入力する情報をそのまま受け取れば済むものの、不正スクリプトを設置していることから、1）Magecartはインターネット上の脆弱なECサイトを探す中で、この偽サイトを発見し、改ざんの上で不正スクリプトを設置した、2）偽サイトを運用するサイバー犯罪者は改ざんに気付き、不正スクリプトを除去したことが推測される。

　同サイトに設置された不正スクリプトは、以前にMagecartの攻撃と特定した広告配信サービスを侵害する攻撃に使われた不正スクリプトと共通点があった。

チケット購入は公式サイトで、ECサイトで使用するソフトは常に最新の状態に

　オリンピックのチケットを購入する場合には、オリンピック組織委員会が公表している正式な販売サイト、もしくは公式リセールサービスかどうかを確認するようトレンドマイクロでは呼び掛けている。

　また、Magecartなどのサイバー犯罪者は脆弱性や設定ミスなど抱えたECサイトを探して攻撃を仕掛けるため、ECサイトで使用するソフトを最新版に更新し、修正パッチを適用するよう注意を促す。運用上の都合から早い段階で適用できない場合にも、影響を最小限に抑えるための回避策を行うことが必要だとしている。