Magecartと呼ばれるサイバー犯罪者集団が開発したマルウェアは、他にも十数件の有名ハッキング事件で用いられており、直近では米国野球殿堂(Baseball Hall of Fame)のオンラインショップの攻撃で使用された。約1年前に英国のブリティッシュ・エアウェイズのサイトから、約38万件の顧客情報が盗まれた事件にも、Magecartが関与したという。
Magecartのマルウェアは、脆弱性のあるプログラムにソースコードを注入するインジェクション型の攻撃を行い、情報を盗み出す。この攻撃は決済プロセスの途中にスクリプトを注入するものだ。
インジェクション攻撃では入力されたデータのみが盗まれるケースが多いが、Magecartはさらに一歩進んだ成果をもたらすという。ホテルの予約サイトの多くは、顧客にクレジットカード番号を入力させるが、カードの裏面にあるCVVコードは入力させていない。
これは犯罪者にとっては問題だ。カード番号のみを盗み出しても、CVVコード無しでは決済を成立させることは不可能だからだ。しかし、Magecartによる攻撃では、顧客にCVVを尋ねる偽の画面を表示し、コードを盗み出すことが可能という。
トレンドマイクロによると、Magecartには英語やフランス語、ドイツ語、ポルトガル語など14カ国の言語に対応する偽の誘導ページが用意されていたという。
さらに気になるのは、攻撃対象となった予約プラットフォームが、世界の様々なホテルチェーンで採用されていることだ。ターゲットとなったシステムは、バルセロナに本拠を置くRoomleaderが、ホスピタリティ業界向けに開発したものという。
トレンドマイクロは既にRoomleaderに連絡を取り、危険を知らせたという。実際に被害を受けたホテルチェーンの名前や被害の詳細はまだ明かされていない。
