東京都内に拠点を置く11の企業や団体の電子商取引(EC)サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられることが捜査関係者への取材で判明した。同様の被害は全国で相次いでおり、警視庁などは不正指令電磁的記録供用容疑なども視野に捜査している。
捜査関係者などによると、都内で被害が確認されたのは、大手コーヒーチェーン「タリーズコーヒージャパン」(新宿区)や「全国漁業協同組合連合会(全漁連)」(中央区)など11の企業や団体が運営するインターネット通販などのECサイト。
何者かが利用者を装い、ECサイトの注文フォームなどに不正なプログラムを発動させる文字列を入力。サイトの運営側が入力された内容を確認すると、プログラムが発動し、攻撃者側が遠隔でサイトを改ざんできる仕組みだった。
その後、ECサイトで顧客が新規に個人情報を登録すると、それが攻撃者側に流出していたという。
改ざん後もサイトでの買い物などは通常通りできるため、運営側が長期にわたって被害に気づかないケースも確認されている。タリーズからは2020年10月からの約3年半で顧客のクレジットカード情報など約9万件、全漁連からは21年4月からの約3年で約2万件の情報が抜き取られていたとみられる。
他にも数万件単位で情報流出が確認されている企業もあり、被害はさらに拡大しているという。
改ざんには、特定の国で使われる文字列が使われており、警視庁などは海外の犯罪グループによる攻撃の可能性があるとみて捜査。IPアドレス(インターネット上の住所)などを解析し、情報の流出先などの特定を進めている。
情報セキュリティー大手「トレンドマイクロ」で企業などのアドバイザーを務める岡本勝之さんは「被害に遭ったECサイトは、遠隔操作で改ざんできる『穴』があったとみられる。即座に検知するプログラムを導入するなど、定期的にセキュリティーを更新する必要がある」と話した。【加藤昌平】