WebRTCスキマー
サイバーセキュリティ研究者らは、WebRTCデータチャネルを利用して悪意のあるペイロードを密かに取得し、機密データを抜き取る高度な決済スキマーを発見した。HTTPリクエストや画像ビーコンに依存する従来のスキマーとは異なり、この亜種は従来のウェブトラフィックパターンとは異なる方法で動作するため、検出が著しく困難になる。
目次
攻撃の侵入経路:PolyShellの脆弱性
今回の攻撃は、Magento Open SourceおよびAdobe Commerceプラットフォームに影響を与える重大な脆弱性であるPolyShellの悪用が原因であることが突き止められた。この脆弱性により、認証されていない攻撃者がREST APIを介して任意の実行可能ファイルをアップロードすることが可能になり、最終的には完全なリモートコード実行につながる。
2026年3月19日以降、この脆弱性は大規模に悪用されてきました。50以上のIPアドレスがスキャン操作を行っていることが確認されており、研究者らは脆弱性のあるオンラインストアの約56.7%でPolyShell関連の侵害を検出しています。
攻撃メカニズム:ステルスチャネルとしてのWebRTC
このスキマーは、侵害されたウェブサイトに埋め込まれた自己実行型スクリプトとして動作します。実行されると、UDPポート3479を介して、ハードコードされたIPアドレス(202.181.177.177)へのWebRTCピア接続を開始します。この接続を通じて、追加の悪意のあるJavaScriptを取得し、それをウェブページに直接挿入して支払いデータを収集します。
この手法の主な特徴は以下のとおりです。
- 従来のHTTPベースの通信の代わりにWebRTCデータチャネルを使用する
- 悪意のあるスクリプトの動的な取得と実行
- 支払い情報を扱うウェブページへの直接挿入
セキュリティ回避:従来の防御策を迂回する
この手法は、広く普及しているセキュリティ対策を回避できるため、スキミング技術における顕著な進歩と言えます。不正な外部接続を制限するためによく用いられるコンテンツセキュリティポリシー(CSP)は、この脅威を効果的に軽減することはできません。
厳格なCSP設定で不正なHTTPトラフィックをすべてブロックする環境であっても、脆弱性は残ります。WebRTCトラフィックはHTTPではなくDTLSで暗号化されたUDP上で動作するため、多くのネットワーク監視ツールや検査ツールでは検知されません。その結果、不正に流出した決済データは完全に検出を回避できてしまいます。
パッチの入手可能性と防御策
Adobeは、2026年3月10日にリリースされたバージョン2.4.9-beta1でPolyShellの脆弱性に対処しました。悪用を防ぐためには、速やかにパッチを適用することが不可欠です。
リスクを軽減し、潜在的な侵害を検出するために、以下の対策を強く推奨します。
pub/media/custom_options/ ディレクトリへのアクセスを制限する
ウェブシェル、バックドア、その他の悪意のあるアーティファクトを徹底的にスキャンする
電子商取引セキュリティにおける戦略的意義
WebRTCを利用したスキミングの出現は、より高度なプロトコルレベルの回避技術への移行を浮き彫りにしています。eコマースプラットフォームを運営する組織は、HTTP中心の監視にとどまらず、進化する脅威に効果的に対抗するために、従来とは異なる通信チャネルのより詳細な検査を取り入れた防御戦略を策定する必要があります。
