Webスキミング事案 国内初摘発

• 男の容疑は不正指令電磁的記録供用と割賦販売法違反。2022年10月下旬から11月23日にかけ、音楽グループの公式オンラインショップに対しクレジットカード情報を窃取する不正プログラムを仕組み、同サイトで商品を購入しようとした3人のクレジットカード情報を入手した疑いがある。*1 この通販サイトでは数件の被害が確認されており、購入手続きで必要となるクレジットカード情報を入力した際に不正なプログラムが実行され、利用者が入力した情報を男が収集していたとみられている。*2
• 男は恒心教と呼ばれる活動に参加しており、2023年8月に爆破予告のFAX送信を行っていたとして警視庁に逮捕、その後起訴されている。*3 今回の事案についても取り調べに対し「恒心教内で不正アクセスが流行っており、興味本位で不正プログラムを設置した」として容疑を認める供述をしている。*4

piyolog.hatenadiary.jp

• この活動に関わっていた男とともに私電磁的記録不正作出および同供用の容疑で二人を逮捕、再逮捕している。二人で共謀し、2023年5月6日から30日までの間、不正に入手した男性5人のクレジットカード情報を用い、オンラインショップでアニメ関連のブルーレイディスク14点（約21万5000円分）を購入、その後共謀した男の私書箱に配送させ盗んだ疑いがある。二人とも容疑を認めている。*5
• 男が行っていたのはWebスキミングと呼ばれている手口。ECサイトの脆弱性を悪用するなどして利用者が不正なスクリプトを参照するようにサイトを改ざん。利用者は気づかずに不正なスクリプトを読み込み、購入を行う際に入力を行ったクレジットカード情報を攻撃者のサーバーへ送信するもの。JC3によれば、Webスキミングによるクレジットカード情報の窃取は2019年頃より国内のサイトで確認されており、2022年3月に注意を呼び掛けていた。*6 京都府警によれば、Webスキミングの実行犯の摘発は全国で初めて。*7

掲示板のカード情報書込を発見し捜査開始

• 発端は京都府警のサイバーパトロール。恒心教のネット掲示板上で100件を超えるクレジットカード情報が掲載されていたことを発見し捜査を行っていた。府警は盗まれたこの約100件のクレジットカード情報と男の関連や実際に不正利用の被害もあったことから、流出している情報が悪用されている疑いもあるとして捜査を進めていた。*8 *9 男はこの手口によって約500件のクレジットカード情報を取得し、この内60件ほどを不正に利用し、被害総額は900万円以上とみられている。*10

更新履歴

• 2023年11月16日 AM 新規作成
• 2023年11月16日 PM 攻撃概要図を追加
• 2023年12月7日 PM 続報追記（再逮捕の件）