脆弱なMagentoストアの半数以上が攻撃対象に
ECサイト向けオープンソースプラットフォーム「Magento Open Source 2」およびAdobe Commerceに存在する重大な脆弱性「PolyShell」を悪用した攻撃が急速に拡大している。eコマースセキュリティ企業のSansecによると、脆弱なストア全体の**56.7%**がすでに攻撃の標的となっていることが確認されている。
公開からわずか2日で大規模悪用が始まる
攻撃が本格化したのは2026年3月19日。脆弱性の詳細が公開されてからわずか2日後という驚くべきスピードで、攻撃者による大規模な悪用(マスエクスプロイテーション)が開始された。脆弱性の公開から実際の攻撃開始までの期間がこれほど短いケースは珍しく、ECサイト運営者にとって非常に危険な状況だ。
脆弱性の仕組み
PolyShellの問題はMagentoのREST APIに起因する。カートアイテムのカスタムオプションとしてファイルアップロードを受け付ける仕様を悪用し、ポリグロットファイル(複数のファイル形式として解釈できる特殊なファイル)を送りつけることで以下の攻撃が可能になる。
- リモートコード実行(RCE): Webサーバーの設定によっては任意のコードを実行可能
- ストアドXSSによるアカウント乗っ取り: 保存型クロスサイトスクリプティングを通じた管理者権限の奪取
Adobeは2026年3月10日にリリースしたバージョン2.4.9-beta1でこの問題を修正したが、現時点では安定版(本番環境向けリリース)への反映はまだ行われていない。BleepingComputerがAdobeに正式なセキュリティアップデートの公開時期を問い合わせたが、回答は得られていないという。
WebRTCを悪用した次世代型カードスキマー
Sansecはさらに、一連の攻撃の中で検出された高度なクレジットカード情報窃取ツール(スキマー)についても報告している。このスキマーは**WebRTC(Web Real-Time Communication)**を悪用してデータを外部へ送信するという、これまでにない手法を採用している。
WebRTCはHTTPではなくDTLS暗号化されたUDP通信を使用するため、多くのサイトで設定されているコンテンツセキュリティポリシー(CSP)のconnect-src指定をすり抜けやすい。
具体的な動作としては、
- 軽量なJavaScriptローダーとして埋め込まれ、偽のSDP交換を通じてC2サーバーに接続
- 暗号化されたチャネル経由で第2段階のペイロードを受信
- 既存のスクリプトnonceの再利用や
unsafe-evalへの fallbackによりCSPを回避して実行 requestIdleCallbackを使って実行タイミングを遅らせ、検出を回避
Sansecによれば、このスキマーは時価総額1,000億ドル超の自動車メーカーのECサイトでも検出されたが、同社は通知に応答していないという。
運営者が今すぐ取るべき対策
Adobeの安定版パッチがまだリリースされていないため、ECサイト運営者は以下の対応を急ぎたい。
- Sansecが公開している攻撃元IPアドレスリストを参照し、WAFやファイアウォールでブロックする
- ファイルアップロード設定を見直し、不要なファイル形式を拒否する
- サーバーログやSansecが公開している**侵害インジケーター(IoC)**を使って既感染がないか確認する
- Adobeのセキュリティアドバイザリを継続的に監視し、安定版パッチが公開され次第すみやかに適用する
Magentoは国内外を問わず多くのECサイトで利用されているプラットフォームであり、日本企業の運営するサイトも例外ではない。パッチ待ちの間も緩和策を積極的に実施することが強く推奨される。
元記事: PolyShell attacks target 56% of all vulnerable Magento stores