Packet Pilot X (Twitter)
2026-05-17

Funnel Builderの脆弱性が悪用されWooCommerceの決済情報が盗まれる

Funnel Builderプラグインにおける重大なセキュリティ脆弱性が悪用され、WooCommerceの決済ページに悪意のあるJavaScriptコードが注入され、支払いデータが盗まれる事例が報告されています。この脆弱性は、バージョン3.15.0.3以前の全てのバージョンに影響を及ぼし、4万以上のWooCommerceストアで使用されています。攻撃者は、Google Tag Managerのスクリプトを装ったコードを注入し、クレジットカード番号やCVV、請求先住所などの個人情報を盗むことを目的としています。FunnelKitはこの脆弱性に対するパッチをリリースしています。

メトリクス

このニュースのスケール度合い

6.5 /10

インパクト

7.0 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.0 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10

主なポイント

  • Funnel Builderプラグインの脆弱性が悪用され、WooCommerceの決済ページに悪意のあるコードが注入されています。
  • 攻撃者は、Google Tag Managerを装ったスクリプトを使用して、クレジットカード情報を盗む手法を取っています。

社会的影響

  • ! この脆弱性の悪用により、多くのオンラインストアが顧客の個人情報を危険にさらされる可能性があります。
  • ! 顧客の信頼を損なうことで、オンラインビジネス全体に悪影響を及ぼす恐れがあります。

編集長の意見

Funnel Builderプラグインの脆弱性は、特にオンライン決済を行うサイトにとって深刻な問題です。この脆弱性を利用することで、攻撃者は顧客のクレジットカード情報や個人情報を容易に盗むことができ、結果として被害者の経済的損失や信用の低下を引き起こす可能性があります。特に、攻撃者がGoogle Tag Managerのような信頼性の高いスクリプトを装うことで、サイト管理者やユーザーが気づかないうちに情報が盗まれるリスクが高まります。これにより、オンラインストアの運営者は、顧客の信頼を失い、ビジネスに深刻な影響を及ぼすことになります。今後、オンラインビジネスを運営する上で、セキュリティ対策はますます重要になります。特に、プラグインやテーマの更新を怠らず、脆弱性が報告された場合には迅速に対応することが求められます。また、顧客に対しても、オンラインでの安全な取引を促すための教育が必要です。セキュリティの意識を高めることで、被害を未然に防ぐことができるでしょう。さらに、開発者は、プラグインの設計段階からセキュリティを考慮し、脆弱性を最小限に抑える努力が求められます。これにより、将来的な攻撃のリスクを低減し、より安全なオンライン環境を提供することが可能になります。

解説

WooCommerceの決済ページで「偽GTM」スキミング、Funnel Builder脆弱性の実害が顕在化

今日の深掘りポイント

  • 事実関係の核は「Funnel Builder(FunnelKit)プラグインの既知脆弱性が現実に悪用され、WooCommerceのチェックアウトに悪性JavaScriptが恒常注入されている」点です。支払いフォームからカード番号・CVV・請求先住所が抜かれるスキミング型被害が発生しています。
  • 影響範囲はバージョン3.15.0.3以前。同プラグインは4万以上のストアで使われており、規模の経済が攻撃者に味方しています。
  • 攻撃はGoogle Tag Manager(GTM)を装う手口で、CSPや運用上の許可リストをすり抜けやすい「現場の盲点」を的確に突いています。
  • 従来のファイル改ざん検知では拾いにくい「設定由来の恒常スクリプト注入」ゆえ、検出はDOM観測・ネットワーク観測・スクリプト台帳の三位一体が要ります。
  • 直ちにやるべきは「更新・無効化」「決済の安全化(必要なら一時停止・代替決済へ迂回)」「スクリプト台帳照合とCSP強化」「決済事業者・アクワイアラ通知とトークン/APIキー再発行」です。PCI DSS v4.0の決済ページ要件に照らした運用強化が、再発防止の肝になります。

はじめに

Magentoの「Magecart」で象徴されたウェブスキミングは、WordPress/WooCommerceでも繰り返し観測されてきました。今回の特徴は、Funnel Builderの脆弱性を起点に、決済ページへ恒常的にスクリプトを注入し、GTMを装ってクレジットカード情報を密かに収集する点です。中小規模のECが多いWooCommerceは、国境をまたぐカード流通の末端でありながら、実装・運用のばらつきが大きい土壌を抱えます。攻撃者はそこに「検出しづらい形での持続的な注入」を重ね、静かに被害を積み上げます。

編集部としての肌感では、緊急性・実行可能性の高さに対し、事業へのポジティブ要因は皆無です。だからこそ、技術的対処と同時に、運用・ガバナンス・PCI準拠の三層で一段深い「守り」を築く機会と捉えたいです。

深掘り詳細

事実:確認されていること

  • Funnel Builderプラグイン(FunnelKit)の脆弱性が実際に悪用され、WooCommerceのチェックアウトへ悪性スクリプトが注入されています。
  • 影響は3.15.0.3以前の全バージョンで、同プラグインは4万超のストアで利用されています。
  • 注入スクリプトはGoogle Tag Managerを装い、カード番号、CVV、請求先住所などの支払いデータの窃取を狙います。
  • ベンダはパッチを公開済みです。
    出典は報道によります(リンクは参考情報に記載)です。

ここで重要なのは、ファイル改ざんではなく「プラグイン設定を介した恒常注入」である点です。結果として、サーバ上のファイル整合性検知やWAFの一般的シグネチャだけでは取りこぼす可能性が高いです。

インサイト:現場運用に刺さる三つの盲点

  1. 許可されがちな「GTM」の仮面
    多くのECがGTMを許可しており、CSPもホスト単位の許可に留まりがちです。攻撃者はこの「運用上の正当性」を盾に、異常な外部送信やDOM操作を紛れ込ませます。ハッシュ/nonceベースのCSPや、GTM自体の二人承認・台帳管理がないと、検出は著しく困難になります。

  2. 設定改ざんは「検知の死角」
    WordPressプラグインのUIから書き込まれる設定は、wp_optionsやpostmeta等のデータベースに保存され、テーマ/プラグインのレンダリング時にそのままHTMLへ展開されます。ファイル改ざんや権限昇格のサインが残らないまま、利用者ブラウザ側で悪性コードが走るため、サーバサイドのメトリクスだけでは見逃しがちです。

  3. 決済の方式で被害様相が変わる(仮説)
    オンサイトでカード番号を入力させる方式は直撃します。一方、PSPのホスト型決済(リダイレクト)や強固なElements実装でDOMに生カード情報を持ち込まない構成なら被害は限定的になり得ます。ただし、フォーム送信前フックで住所・氏名・連絡先など周辺PIIは抜かれうるため、「安全」とは言い切れません。この設計差はインシデント評価と通知範囲を左右します。

脅威シナリオと影響

以下は報道と一般的TTPに基づく仮説シナリオです。MITRE ATT&CKの観点も併記します。

  • シナリオA:未認証の設定改ざんからの恒常注入

    1. 初期侵入:公開アプリケーションの脆弱性悪用でプラグイン設定を書き換え(ATT&CK: T1190 Exploit Public-Facing Application)。
    2. 実行:決済ページ閲覧時にブラウザで悪性JavaScriptが実行(T1059.007 JavaScript)。
    3. 偽装・回避:スクリプトやロード元の名称をGTM風に偽装、難読化(T1036 Masquerading, T1027 Obfuscated/Compressed Files)。
    4. 収集:フォームのonSubmitフックや入力イベントからカード情報・請求先情報を捕捉(T1056 Input Capture)。
    5. 流出:攻撃者管理のWebサービスへ送信(T1567.002 Exfiltration to Web Service)。
      影響はカード不正、チャージバック増大、アクワイアラからのPFI調査要求、ブランド毀損と広範です。

  • シナリオB:復元耐性のある再注入(持続化)(仮説)

    1. 初期侵入後、悪性スクリプトを設定へ注入すると同時に、スケジュールジョブや追加管理者の作成で再注入の足場を確保(T1053.003 Scheduled Task/Job, T1136 Create Account)。
    2. 管理者が気づいて設定を戻しても、一定間隔で再度注入が行われる。
      長期化すれば、被害期間の特定と影響推定が難しく、通知・補償の負担が跳ね上がります。

  • シナリオC:配下サイトの連鎖汚染(仮説)
    代理店・開発会社が複数顧客の運用管理を一括で担う場合、同一の脆弱な運用テンプレートが横展開され、攻撃者は再現性高くスケールさせます。単独サイトの問題ではなく、サプライチェーン型のリスクへ拡大します。

規制・コンプライアンスの観点では、PCI DSS v4.0が決済ページのスクリプト管理を強化しており、特に「決済ページ上の全スクリプトの台帳化・正当化・整合性確保(例:要件6.4.3)」は、今回の手口に対する実効的な抑止線になります。該当する場合は、アクワイアラ・PSP・カードブランド、各国の個人情報保護当局への報告義務も検討が要ります。

セキュリティ担当者のアクション

  • いま直ちに(当日中)

    • プラグイン更新または一時無効化:Funnel Builderを最新へ。更新が難しければ、決済を一時停止またはホスト型決済に切替えて被害拡大を止めます。
    • 決済ページのDOM/ネットワーク観測:チェックアウトを実機・ヘッドレスで読み込み、許可ドメイン以外へのscriptロード・POST送信がないかを確認します。GTM名義の通信でも中身と宛先を精査します。
    • スクリプト台帳の照合:決済ページに読み込まれる全スクリプト(GTM内タグを含む)を棚卸し、出所・目的・変更履歴を確認します。未知・未承認のものは即時除去します。
    • 資格情報のローテーション:PSPのAPIキー・Webhook署名シークレット、管理者アカウントのパスワード、アプリケーショントークンを再発行します。
    • インシデント・ハンドリング:痕跡が一つでもあれば、アクワイアラ/PSPへ連絡し、PFI(PCI Forensic Investigator)関与の要否を相談します。顧客通知の判断に備え、被害期間の仮説レンジを明記して一次報告書を作成します。

  • ハンティングと検証(48時間以内)

    • サーバ側ログで「注入の痕跡」を時系列化:管理パネルへのPOST、プラグイン設定エンドポイントへの異常アクセス、国・ASNの偏りなどを抽出します。
    • データベースの高リスク領域を点検:wp_optionsや関連プラグインの設定格納領域に