【注意】Googleタグマネージャー（Google Tag Manager）を使ってECサイトにマルウェアを埋め込まれ、カード情報を盗み外部サーバーへ送信する事例が出ています

2025年2月16日

Sucuri社よりMagentoベースのECサイトに難読化スクリプトを注入する脆弱性を悪用する事例報告が出ています。
このマルウェアはGoogleタグマネージャー経由でロードされ、顧客がチェックアウトする際にクレジットカード番号を盗むことを可能に。
隠されたPHPバックドアは、サイト上にコードを保持し、ユーザーデータを盗むために使用。

マルウェアがアクティブになると、Magento ECサイトのチェックアウトページからクレジットカード情報を記録し、ハッカーが制御する外部サーバーに送信。

Sucuriのセキュリティチームは、バックドアのPHPファイルも発見した。PHPファイルは、Magento、Drupal、Joomlaなどのプラットフォームで構築された多くのダイナミックウェブサイトの「ビルディングブロック」です。したがって、マルウェアのPHPファイルは、一度注入されると、コンテンツ管理システム内で動作を続けるとの事。

特定したPHPファイル

./media/index.php.

Sucuri公式アナウンス(全文英文)

https://blog.sucuri.net/2025/02/google-tag-manager-skimmer-steals-credit-card-info-from-magento-site.html

マルウェアのコード等、確認したい場合はSucuri社、公式サイトを確認ください。

利用サイト対策例

• 疑わしいGTMタグを削除する。GTMにログインし、疑わしいタグを特定し、削除する。
• 他のマルウェアやバックドアを検出するために、ウェブサイトの完全スキャンを実行します。
• 悪意のあるスクリプトやバックドアのファイルを削除する。
• Magentoとすべてのエクステンションのセキュリティパッチが最新であることを確認する。
• 定期的にサイトトラフィックとGTMを監視し、異常な動きがないか確認する。

Recent Entries