PolyShell攻撃でEC決済データ流出──WebRTC悪用の新手法Magento/Adobe Commerce脆弱性、脆弱店舗の56.7%が被害

ECサイトの決済データがWebRTC経由で盗まれる新たな脅威

Magento Open SourceおよびAdobe Commerceに存在する新脆弱性「PolyShell」を悪用した大規模スキマー攻撃が発生しています。The Hacker Newsの報道によると、脆弱な状態にあるECサイトの56.7%がすでに被害を受けており、従来のセキュリティ対策では検出できない手法が使われていることが明らかになりました。攻撃者はWebRTCデータチャネルという通常のビデオ通話などに使われる技術を悪用し、決済情報を密かに外部へ送信しています。

PolyShell脆弱性の深刻さと攻撃の仕組み

セキュリティ企業Sansecが3月27日に報告した内容によると、PolyShell脆弱性はMagento/Adobe Commerceの全安定版バージョン2に影響します。攻撃者は認証なしでREST APIを通じて任意の実行ファイルをアップロードでき、そのままサーバー上でコードを実行できてしまいます。3月19日以降、50以上のIPアドレスが脆弱なサイトのスキャンに参加しており、攻撃は組織的かつ大規模に行われています。

特に注目すべきは、攻撃者が決済データを盗み出す手法です。従来のスキマー攻撃では、HTTPリクエストや画像ビーコンを使って外部サーバーへデータを送信していました。しかし今回の攻撃では、WebRTCのデータチャネルが使われています。WebRTCはブラウザ間でリアルタイム通信を行うための技術で、DTLSという暗号化プロトコルとUDP通信を使用します。この通信はCSP（Content Security Policy）の監視対象外であり、一般的なネットワーク監視ツールやWAF（Web Application Firewall）でも検出が困難です。

なぜ従来のセキュリティ対策では防げないのか

多くのECサイトでは、CSPを設定して外部へのデータ送信を制限しています。また、WAFを導入してHTTPベースの不審な通信を検知する体制を整えています。しかしWebRTCはこれらの監視の「死角」を突いています。P2P（ピアツーピア）通信として設計されているため、従来のHTTPベースの監視ルールが適用されません。

ある自動車メーカーのECサイトでは、この手法によって顧客のクレジットカード情報が窃取されていたことが判明しています。攻撃者はWebRTCを使ってペイロード（悪意あるコード）を取得し、決済フォームに入力された情報をリアルタイムで外部に送信していました。サイト運営者は長期間にわたって攻撃に気づくことができませんでした。

自社ECサイトで今すぐ確認すべきこと

この脅威に対して、ECサイトを運営する企業は速やかな対応が求められます。

まず最優先で行うべきは、Magento/Adobe Commerce環境へのセキュリティパッチ適用です。ベンダーから提供される緊急パッチを確認し、テスト環境での検証後、できるだけ早く本番環境に適用してください。

次に、REST APIエンドポイントのアクセス制御を見直す必要があります。認証なしでアクセスできるエンドポイントがないか、ファイルアップロード機能が適切に制限されているかを確認しましょう。

さらに、WebRTC通信の監視ルールを追加することも重要です。ネットワーク監視ツールでUDP/DTLSトラフィックを可視化し、不審な通信パターンがないかチェックする体制を整えてください。

加えて、ECサイトの決済処理の完全性を検証することをお勧めします。決済フォームに不審なスクリプトが挿入されていないか、外部リソースの読み込み状況を定期的に監査する仕組みを導入しましょう。

最後に、インシデント対応計画の見直しも検討すべきです。万が一の情報漏洩に備え、顧客への通知手順や関係機関への報告フローを確認しておくことが重要です。

セキュリティ対策の見直しはGXOにご相談ください

今回のPolyShell攻撃は、従来のセキュリティ対策の限界を示しています。HTTPベースの監視だけでなく、WebRTCを含む新たな攻撃経路への対応が必要です。

GXOでは、180社以上の支援実績をもとに、ECサイトのセキュリティ診断から監視体制の構築、インシデント対応までを一気通貫でサポートしています。SIEM/SOARの導入支援やSOCサービスの提供を通じて、御社のセキュリティ体制強化をお手伝いします。

自社ECサイトの脆弱性が心配な方、セキュリティ監視体制を見直したい方は、ぜひお気軽にご相談ください。

セキュリティ対策のご相談はこちら