大規模なMagecartキャンペーン、大手クレカ利用客を標的に

yab

2026.01.14

大規模なMagecartキャンペーン、大手クレカ利用客を標的に

HackRead – January 13, 2026

遅くとも2022年1月から活動が続くクレジットカードのWebスキミングキャンペーンの詳細をSilent Pushの研究者らが報告した。このWebスキミング攻撃では「Magecart」の手法が採用され、大手決済ネットワークが狙われている。

「Magecart」は正当な決済ポータルに悪意のあるスクリプトを挿入することで、オンライン取引中にWebフォームからユーザーの機密データを密かに盗み出すクライアントサイド攻撃を指す。またこうした攻撃を実施する攻撃者グループをMagecartと呼ぶこともある。

Silent PushはMagecartに特化した有害ドメインのネットワークを特定し、Mastercard、American Express、Discover、Diners Club、JCB、UnionPayなど、ほぼすべての主要な決済ネットワークが攻撃対象であることを明らかにした。

このキャンペーンの危険な点の1つは、一見無害に見えるドメインが有害スクリプトをホストしており、攻撃を検知することが困難になっている点だという。その代表例が、Webサイト「cdn-cookie.com」。このドメインは、現在欧州の制裁を受けている企業「PQ.Hosting（別名Stark Industries）」のサーバー上で発見された。また、スクリプトがサイト所有者に表示されるWordPress管理バーを検出すると、自身を削除することで発覚を回避するため、オンラインストアの運営者が長期間気づかないこともある模様。

オンラインショッピングの利用者が支払いを行う際、マルウェアは正規の決済フォームを隠ぺいし、代わりによく似たフォームを表示。正規のフォームに見せかける工夫として、入力されたカード番号からブランドを判別し、そのロゴがポップアップする仕組みまで実装されている。偽物と気づかずに情報を入力した利用者が「注文する」をクリックすると、氏名・住所・カード番号が盗み取られる。その後、実際の支払いフォームに遷移し、エラーメッセージが表示される。利用者は単に入力ミスをしたと思い、正規フォームに情報を再入力し、カード情報が窃取されたことに気づかないまま後日商品を受け取ることになる。

攻撃の一連の流れはWebブラウザ内で行われるため、利用者が察知するのは困難だという。しかし、サイトで唐突にエラーが発生した後に支払い情報の再入力を求められたり、2回目の入力時にフォームの見た目が少し変わったりした場合は、スキマーの存在が疑われるとSilent Pushは警告した。また、ストア管理者が自社のページで実行を許可するスクリプトを厳密に管理する必要があると述べている。ストア利用者には銀行の利用明細を確認することが求められている。