Magentoのセキュリティパッチを装ったマルウェアに注意

Sucuriは2月12日(米国時間)、「Fake SUPEE-5344 Patch Steals Payment Details - Sucuri Blog」において、オンラインショッピングストアを構築するソフトウェア「Magento」のセキュリティ・パッチを偽装したマルウェアを発見したと伝えた。このマルウェアを使われると、クレジットカード情報が窃取される危険性があり注意が必要。

ここ数週間、Magentoに脆弱性が発見されたとして度々取り上げられているが、今回発見されたソフトウェアはこの脆弱性を修正するパッチを装いながら、脆弱性を悪用してデータを窃取しようとするもので危険性が高いと言える。発見されたソフトウェアはセキュリティパッチ「SUPEE-5344」を偽装している。

報告されている内容は2つの点で注意する必要がある。まず、クレジットカード情報などの窃取が可能な脆弱性はSUPEE-5344で修正可能とされているが、多くのMagentoサイトがまだこのセキュリティパッチを適用していないとされていること。さらに今回は、このSUPEE-5344を偽装したソフトウェアが出回っている。Magentoを利用している場合は適切な情報を得るとともに、必要に応じて迅速に適切なアップデートを適用することが望まれる。