Sansecは2026年1月15日、米国トップ3に入る大手銀行の従業員向けマーチャンダイズストア(社内グッズストア)で、フォーム入力を盗むJavaScript型キーロガーを確認したと公表しました。
何が起きたか
Sansecの説明では、対象サイトは従業員が社内ブランド品を購入する用途で使われており、潜在的な被害者は20万人以上に及ぶとされています。窃取対象はログイン情報だけでなく、決済カード情報や個人情報など、フォームに入力された内容全般です。
更新情報として、当該マルウェアは約18時間稼働した後、1月15日時点で削除された可能性が高いとも記載されています。
具体的には従業員向けストアのページソースに不正なJavaScriptが差し込まれ、チェックアウト画面など特定ページで追加の外部スクリプトを読み込む構成になっており外部から取得された第二段のペイロードが、ページ内の入力項目(input/select/textarea)を広く収集し、外部へ送信する動きです。
Sansecは検知後、メールやLinkedIn経由で銀行側へ連絡したものの、当該組織がセキュリティ窓口を示すsecurity.txtを公開しておらず、適切な連絡先に到達しづらい点も問題として挙げています。
攻撃の仕組み
今回のポイントは、端末にマルウェアを入れるタイプではなく、サイト側に仕込まれたクライアントサイド攻撃として成立している点です。Sansecが示した挙動は大きく2段階です。
第一段:ページ判定と外部スクリプトの読み込み
URLにcheckoutが含まれるかを確認し、条件に合致すると外部ドメインから追加スクリプトを読み込みます。文字コードを使った難読化があり、静的検査をすり抜ける意図が見えます。
第二段:フォーム入力の総取りと送信
ページ上の入力欄を走査して値を収集し、Base64化したデータを画像ビーコンとして送ります。画像リクエストに見せることで、環境によってはセキュリティ制御やログの粒度から抜けやすくなります。
送信先として、js-csp.com配下のエンドポイントが使われたとされています。
影響が大きい理由 20万人超が入力窃取の標的
従業員向けストアは一見すると福利厚生や物販の周辺システムに見えますが、今回のケースは影響が重くなりやすい条件がそろっています。
対象が20万人以上と大規模です。短時間でも母数が大きいほど、入力窃取が成立する確率は上がります。
盗まれるのが購入データだけではありません。ログイン情報、カード番号、住所氏名など、フォームに入力されたものが広く対象になります。
銀行員は社内システムへの権限が高いことが多く、もし資格情報の再利用が起きていれば、外部サイト由来の漏えいが内部侵入の足がかりになり得ます。
従業員向けストアは監査や脆弱性診断の対象外になりやすく、攻撃者から見ると守りの薄い入口になりがちです。
見逃しが起きやすい構造
Sansecは、当時ほかのセキュリティベンダーが十分に検知できていない状況にも言及しています。ここは、技術というより守りの前提がズレやすいところです。
クライアントサイドの改ざんは、サーバ側のログや一般的なWAFだけでは発見が遅れがちです。
ECサイト特有のスクリプト読み込みやタグ運用が多く、正規と不正の境界が曖昧になりやすいです。
従業員向けストアが外部のEC基盤やテンプレートを使っている場合、攻撃者にとっては勝ちパターンが流用しやすくなります。
対策 従業員向けサイトを例外扱いしない
情報システム部門としては、従業員向けポータルや物販、福利厚生サイトを外周扱いせず、認証情報と決済情報を扱うシステムとして設計・監査の土俵に載せる必要があります。現実的な対策は次の通りです。
クライアントサイド防御の導入
許可されたJavaScript以外を検知する仕組み(スクリプトの変更監視、タグ管理の統制、改ざん検知)を運用に組み込みます。EC向けに特化した監視が効く領域です。
CSPとSRIの活用
外部スクリプトの読み込みを最小化し、許可リストを厳密にします。可能であればSubresource Integrityで改ざん耐性を上げます。
認証の分離と再利用対策
従業員向けストアの認証を社内IDと同じパスワード運用に寄せない設計が重要です。SSOを使う場合でも、強制MFAや条件付きアクセス、ログイン異常検知をセットにします。何より、社内パスワードの再利用が起きない運用(パスワードマネージャ利用の推奨など)が効きます。
決済情報を持たない設計
可能なら決済情報をサイト側で保持しない、トークン化した決済導線に寄せるなど、窃取されても被害が限定される形にします。
インシデント時の初動を定型化
影響期間の特定、該当ページの入力ログの把握、強制ログアウトと認証情報の更新、カード会社への連携、従業員への注意喚起を短時間で回せるようにします。
連絡窓口の整備
外部研究者からの通報が刺さる体制を作るのは、防御のコストを下げます。security.txtの公開は、こうした摩擦を減らすための基本動作です。
IOC(侵害指標)
Sansecが示した主要な指標は以下です。DNS/プロキシ/EDRの相関で追えるよう、最低限ここは押さえておくのが実務的です。
ドメイン
パス(例)
/getInjector/
/fetchData/
送信パターン
出典
Keylogger targets 200,000+ employees at major US bank
最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.