Infoseek 楽天

全国40の企業・団体のサイト改竄、顧客情報流出か 通販狙う「ウェブスキミング」

産経ニュース 2024年12月13日 18時45分

約20都道府県、約40の企業や団体のインターネット通販サイトなどが不正なプログラムを仕掛けられて改竄(かいざん)され、顧客情報が流出した恐れがあることが、警察庁への取材で分かった。手口が共通しており、警察当局は国外の犯行グループが関与している可能性があるとみて、不正指令電磁的記録供用容疑などを視野に捜査している。

改竄は今年、警察庁のサイバー特別捜査部が行った調査で発覚。令和3年ごろに行われたものが多いとみられるが、大半は今年、警察庁の指摘で被害に気付いたという。

何者かが通販サイトの情報入力フォームなどに不正なプログラムを仕掛け、運営者側が内容を確認すると、プログラムが発動してサイトを改竄。顧客がクレジットカード情報などを入力すると、情報が攻撃者側のサーバーに保存されるようになっていた。攻撃者は情報を別サーバーへ転送させるなどして、情報を抜き取っていた可能性がある。改竄に使用された文字列には中国の簡体字が含まれていたという。

東京都内では、大手コーヒーチェーン「タリーズコーヒージャパン」など12の企業や団体で被害を確認。タリーズコーヒージャパンによると、約9万2千件の氏名や住所などの個人情報、約5万2千件のクレジットカード情報が漏洩(ろうえい)した可能性がある。

通販サイトを狙い

警察庁の捜査で発覚した不正プログラムによるサイト改竄では、インターネットの通販サイトに不正プログラムを仕掛け、利用者のクレジットカード情報を抜き取る「ウェブスキミング」という手口が使われたとみられる。正規サイトに入力した情報が盗まれるため、被害に長期間気付きにくく、専門家は「サイト側の対策が重要」と警鐘を鳴らす。

似た手口の「フィッシング」は、実在の企業などを装ってメールを送りつけ、偽サイトに誘導し、個人情報を窃取する。URLや画面表示が本物と違い、注意すれば利用者も気付くことは可能だ。一方、ウェブスキミングは正規サイトそのものを改竄しているため、画面上で見抜くのは極めて難しい。

情報セキュリティー会社「トレンドマイクロ」によると、ウェブスキミングはサイトに保存された個人情報やクレジットカード情報を盗むのではなく、利用者がサイトに情報を入力した際に、別サイトへ送信され、リアルタイムで盗まれるという。被害に気付きにくいため、被害が長期間に及ぶほか、警察やクレジットカード会社など外部からの連絡を受け、初めて情報漏洩に気づくケースが多い。タリーズジャパンのケースでも警視庁からの連絡で被害が発覚し、情報が漏洩した可能性がある期間は令和3年7月から6年5月に及んだ。

令和2年ごろからは、日本のみを標的にした「ウォーターパモラ」という攻撃キャンペーンも確認されている。

「検知、防止する対策を」

国外のグループが関与したとみられる一連の犯行とは別に、京都府警などの合同捜査本部は昨年、ウェブスキミングで不正に入手した他人のクレジットカード情報で買い物をしたとして大学生の男ら2人を私電磁的記録不正作出・同供用と窃盗の疑いで逮捕した。

府警によると、利用者が音楽グループの公式サイトでグッズを買おうと手続きを進めると、改変された決済ページが表示。入力したカード番号などが男に伝わる仕組みになっていた。男が不正アクセスし、カード決済に関するプログラムを改竄したとみられる。購入自体は問題なく完了したため、被害が裏付けられた利用者3人は抜き取りに気付かなかった。

トレンドマイクロの岡本勝之氏は「脆弱(ぜいじゃく)性が放置されたサイトが狙われる。サイトの脆弱性を塞ぎ、改竄を検知、防止する対策を行い、リスクを軽減する必要がある」と話している。(大渡美咲、橋本愛)

この記事の関連ニュース