クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに

あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は４段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… 2024-10-04 13:15:14 Niishi Kubo | GitLab,Limeboard @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js（画像切り替えのライブラリ）を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定さ

[serio]

こういうのがあるから、できる限りオリジナル店舗で買いたくないんだよな。楽天支店やYahoo支店、Amazon支店があるなら、そっちで買ってる。クレカ情報を書き込む機会は最低限にしたい。

[circled]

「こういうのを見つけて教えてくれるホワイトハッカーの人はいないのかねえ。」→ 善意で教えても、暫くのちに警察が不正アクセス禁止法容疑で事情聴取に来そうだから黙ってそう。海外みたいに懸賞金貰えるなら別

[umaemong]

ちゃんと追ってないけど、こういうのは一般的にはXSSとは言わないでしょ。スクリプト書き換えの手口にもよるけど、自サイトに置かれているファイル自体に問題があるっぽいので。

[civicpg]

クレカ払いは、Powered by StripeやPayPalみたいなのじゃないと自前実装のショッピングカートでは危ないからやめたほうがいいね。Apple Pay払いも安全でいい。

[totoharusan]

仕組みは分かったんだけど、これがどうやって仕組まれたのかはわからんのよなぁ

[jtw]

見つけて教えたら逮捕されるか、よくて無償奉仕を強制されるだけなので、他人事として眺めているのが現実的。この流れを作ったのは警察・検察・裁判所。

[t_yamo]

どの脆弱性がどういう定義なのか怪しい人は共通脆弱性タイプ一覧CWEを確認するとよいと思うんだ。XSSはCWE-79でありJS自体が改竄されている今回のケースは該当しない。 https://jvndb.jvn.jp/ja/cwe/CWE-79.html

[hemon]

セキュリティコードなんて保存するなとキレてる人居たけど、実際は違って送信フォームが改ざんされてユーザーが送信した情報セキュリティコード込み全てハッカー側に送信されていたのね。

[unmarshal]

"/html/upload/save_image/1019091313_common.js.php というパスの名前からして、画像アップロード機能に脆弱性があってPHPファイルをアップロードできたのかな" こういう箇所が直されてないシステムは多いのかな

[prograti]

Wayback Machineを遡ると最初にアーカイブされた2021年の時点で既に仕掛けられてますね。ECサイトはASP.NET製でフルスクラッチっぽいように見えます。WebサーバーはIISでFTP（21番ポート）も外部にオープンになってますね

[issyurn]

自衛が難しい

[houyhnhm]

XSSじゃないです。脆弱性経由でサーバ乗っ取られたら、まあ悪意あるJSがサーバに仕込まれてという、会社のセキュリティどうなってんの事案ではあります。

[igrep]

Content-Security-PolicyはJSを読むHTMLを返す際に設定するものなので、（今回は知らないけど）HTMLごと改ざんできる状況でなければ防げます。

[nmcli]

自社 EC 内でカード番号の入力を要求する仕様がどうしても必要なら改竄検知は必須、やれないなら決済代行会社使おう。そういう自主規制が進むべき。デジタル庁と消費者庁はもっと問題視すべき。

[kkobayashi]

そもそもサーバー側のjsが改ざんされたのは何故なんや。XSSよりやばいやろ

[mochinaga]

サイト改ざんされてたんだから、Content-Security-Policyが設定されてたとしても、Content-Security-Policy自体を変更できた可能性ない？

[pixmap]

自前でクレジットカードのフォームを実装するのと、自前でログインの仕組みを実装するのは、専属のSREやレッドチームを作れない規模の組織では基本やめるべきだよな。決済サービス使ったり、OpenID Connect使うべき。

[qinmu]

《slick.min.js（画像切り替えのライブラリ）を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。》

[brimley3]

はてな住人が飛びつくネタや！

[wkubota]

“ GitLab DAST ”

[zyzy]

サーバのファイル改竄して直接クレジット情報盗聴できるようにするとか、ある意味最も身も蓋もない手段なだけに、かえってこの手口を指す名前ないんだな、そう言えば。

[nobodyplace]

サイト改ざんの時点でやばい XSSとか言ってる人はまあうん人生こういうのに関係ない人だろうから別にいいんじゃないか

[tanority]

外部からコードが埋め込まれる仕組みがよくわからん

[zakinco]

サイトを改竄されてたのか。

[NOV1975]

Xには素人しかおらんのか。ちゃんと徳丸さんの指摘を読んどけよ。

[field_combat]

タリーズの件のまとめ

[tritosi]

すごー

[dada_love]

毎度思うんだがツール使ってないとしたらクラッカーってホント頭いいんだな

[PlugOut]

XSSでは無くJSファイル自体の改ざんだったのか

[pwatermark]

サイトの中に「PHPをアップロードしてPHPとして稼働させられる」脆弱性があり悪用された、ってのが要っぽいね なんかWordpressっぽいやられ方だなあ

[hecaton55]

サーバーの中のファイルが改ざんされてしまうとなんでも出来てしまうのでまとめに挙げられている対策でも万全とは言えないところが大変やな

[iasna]

技術は全然わかんないけどWEBアーカイブは残すべきってわかった

[nakab]

最近、クレジットカード先払いのサウナを知ったがカード情報を提供したくないので行けない。今後も行けそうにない。

[ihirokyx]

サーバーにおいてあるJSが改ざんされてブラウザから直送信

[otation]

サーバー侵入じゃなくて、サプライチェーン攻撃の可能性ない？

[misomico]

ユーザはどうするのがいいんだろうか。もしあれば、〇〇pay連携とかがいいのかな

[iiyo44]

サーバー侵入されて改竄なら、防ぎようない なので、定期的にPenテストをやっておいた方がいい

[soratomo]

アーカイブ見てみたけど、どうしてslick.min.jsに目星を付けたのかとてもキニナルし凄いわー。にしても、XSSでないとなるとマルウェアとかでPCやサーバーの権限のっとられたか内部関係者の可能性もあるのかなー

[azzr]

CSPでevalを無効化していれば防げたかもしれないけど、XSSではなく自社サイトにまで侵入が成功してしまっていたのなら、eval無効化くらいはいくらでも回避できてしまう。

[lucky_slc]

セキュリティホールは改善されない、公益通報制度は機能せず通報者が逮捕されたり自殺に追い込まれる、裏金は逮捕されない、みたいなのが日本には沢山あって失われた30年に繋がってる気がする