2023年11月15日、京都府警などはWebスキミングによるクレジットカード情報の窃取を行っていた疑いとして男を不正指令電磁的記録供用や割賦販売法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。
Webスキミング事案 国内初摘発
- 男の容疑は不正指令電磁的記録供用と割賦販売法違反。2022年10月下旬から11月23日にかけ、音楽グループの公式オンラインショップに対しクレジットカード情報を窃取する不正プログラムを仕組み、同サイトで商品を購入しようとした3人のクレジットカード情報を入手した疑いがある。*1 この通販サイトでは数件の被害が確認されており、購入手続きで必要となるクレジットカード情報を入力した際に不正なプログラムが実行され、利用者が入力した情報を男が収集していたとみられている。*2
- 男は恒心教と呼ばれる活動に参加しており、2023年8月に爆破予告のFAX送信を行っていたとして警視庁に逮捕、その後起訴されている。*3 今回の事案についても取り調べに対し「恒心教内で不正アクセスが流行っており、興味本位で不正プログラムを設置した」として容疑を認める供述をしている。*4
- この活動に関わっていた男とともに私電磁的記録不正作出および同供用の容疑で二人を逮捕、再逮捕している。二人で共謀し、2023年5月6日から30日までの間、不正に入手した男性5人のクレジットカード情報を用い、オンラインショップでアニメ関連のブルーレイディスク14点(約21万5000円分)を購入、その後共謀した男の私書箱に配送させ盗んだ疑いがある。二人とも容疑を認めている。*5
- 男が行っていたのはWebスキミングと呼ばれている手口。ECサイトの脆弱性を悪用するなどして利用者が不正なスクリプトを参照するようにサイトを改ざん。利用者は気づかずに不正なスクリプトを読み込み、購入を行う際に入力を行ったクレジットカード情報を攻撃者のサーバーへ送信するもの。JC3によれば、Webスキミングによるクレジットカード情報の窃取は2019年頃より国内のサイトで確認されており、2022年3月に注意を呼び掛けていた。*6 京都府警によれば、Webスキミングの実行犯の摘発は全国で初めて。*7
掲示板のカード情報書込を発見し捜査開始
更新履歴
- 2023年11月16日 AM 新規作成
- 2023年11月16日 PM 攻撃概要図を追加
- 2023年12月7日 PM 続報追記(再逮捕の件)
*1:「恒心教」名乗る男逮捕 ウェブスキミングで初摘発、クレカ情報不正入手か,産経新聞,2023年11月15日
*2:グッズ販売サイトからクレカ情報盗んだ疑い 全国初摘発、公式サイトに不正仕掛ける「ウェブスキミング」,京都新聞,2023年11月15日
*3:「ウェブスキミング」情報流出100件超か 容疑者「恒心教」関係者,毎日新聞,2023年11月15日
*4:“ウェブスキミング”でクレカ情報を不正入手か 全国初の検挙,NHK,2023年11月15日
*5:「ウェブスキミング」でカード情報500件入手か、「恒心教」の男を容疑で再逮捕,読売新聞,2023年12月6日
*6:ECサイト改ざんによるクレジットカード情報窃取について,日本サイバー犯罪対策センター,2022年3月22日
*7:「ウェブスキミング」初摘発、クレカ情報入手容疑で自称「恒心教」の男逮捕…公式サイトに不正プログラム,読売新聞,2023年11月15日
*8:「ウェブスキミング」全国初摘発 26歳容疑者、「恒心教」主張,毎日新聞,2023年11月15日
*9:男が何度も口にする「恒心教」とは…ウェブスキミング全国初の立件 京都府警,MBS,2023年11月15日
*10:「ウェブスキミング」でクレカ情報盗み商品購入、900万円超被害か 容疑の26歳男再逮捕,京都新聞,2023年12月6日