真っ白な髭はサンタクロースの代名詞ですが、今年のブラック・フライデーやクリスマス商戦を楽しみにしているオンラインの買い物客を狙い、手ぐすねを引いているサイバー犯罪者は、そうしたピュアなイメージを悪用しようとしている可能性があります。

チェック・ポイントの研究者は先日、爆発的人気のショッピング・ポータル「AliExpress」を糸口に、浮かれ気分の買い物客をだますサイバー犯罪の新しい手口を発見しました。アリババ・グループが運営するAliExpressは現在最も人気の高いショッピング・サイトの1つで、全世界から1億人以上の顧客を集め、その売上高は230億ドルに上ります。

発見した脆弱性の情報を、チェック・ポイントの研究者は直ちにAliExpressに提供。同サイトはサイバー・セキュリティの確保に真剣に取り組んでおり、今回も速やかに行動を起こして情報提供から2日以内に問題を解決しました。これは称賛すべき対応であり、他のショッピング・サイトのお手本となるものです。

 

この脆弱性攻撃の仕組み

新たに発見された脆弱性を利用すると、AliExpressのWebページに悪意のあるJavaScriptコードを忍ばせた上で、ユーザにリンクを送信しそのページに誘導することができます。このページを開くとユーザのWebブラウザでコードが実行され、攻撃側はWebサイトのオープン・リダイレクトの脆弱性を利用して、クロスサイト・スクリプティング攻撃に対するAliExpressの防御機能を回避できるようになります。

この攻撃は電子メールを使ったフィッシング・キャンペーンによって仕掛けることが可能です。しかも、AliExpressの一般的な購入経路を利用するため、不審な動きがユーザから見えにくく、「フィッシング詐欺」を疑われることがありません。

攻撃者は続いてAliExpress所有のサブドメインにあるホーム画面でクーポンのポップアップを表示し、「買い物が簡単になる」とアピールしてクレジット・カード情報の入力をユーザに求めます。しかし、ポップアップ・ウィンドウで入力されたクレジット・カード情報は当然ショッピング・サイトの方ではなく、攻撃者に直接送信されることになります。

オンラインの小売業者を狙ったサイバー攻撃は前年比で2倍になっているという最近の報告もあり、消費者としては、サンタクロースの髭は必ずしも白くないという事実を認識しておく必要があるでしょう。また、こうした攻撃はどのショッピング・サイトでも起こりうることなので、年末商戦では用心に用心を重ねる心がけが重要となります。

この攻撃の仕組みについて詳しくは、調査報告の全文をご覧ください。