2026年のMagecartスキマー検出：Group 12以降に何が変わったか

ここ十年の大半において、Magecartの検出は文字列マッチングの演習だった。新規登録された.topドメインへPOSTを送るインラインの<script>を見つけ、アラートを上げて報告する、それだけだった。

チームはやがて別の手法へ移行した。2024年末以降、私たちのpipelineで最も多く見られる手口は、service worker内に登録された決済ページ用スキマーだ。無害に見えるanalytics.jsラッパーを経由して読み込まれ、fingerprintチェックによって訪問者がheadlessブラウザでないことを確認した後にのみ起動する。

このタイプを捕捉するため、私たちのcrawlerはservice-workerにフックを仕込んだ完全にインスツルメントされたChromiumを起動し、合成チェックアウトを実行して、取得したページツリー内のすべてのfetchイニシエーターを記録する。スキマーは本物らしいセッションに対して正確に一度だけ動作する——私たちには本物のセッションに見えるから検知できるのだ。

eコマースストアを運営しているなら、実践的な教訓はこうだ：シグネチャベースのWAFではこれを検出できない。攻撃者のanti-analysis検査を生き延びられる、ブラウザ内実行のモニタリングが必要だ。