国内４０の企業・団体ＥＣサイトに不正プログラム…警察庁調査、顧客のカード情報の窃取目的か

警察庁

　国内約４０の企業・団体が運営する電子商取引（ＥＣ）サイトに、不正なプログラムが仕掛けられていたことが、警察庁への取材でわかった。警察庁は、登録されたクレジットカードなどの個人情報を窃取する目的で、海外の同一グループが関与したとみている。

　警察庁は今年に入り、過去に類似の被害が出たソフトで構築された国内のＥＣサイトを調査した。その結果、タリーズコーヒージャパン（東京）や全国漁業協同組合連合会（同）など約４０の企業・団体のＥＣサイトで、共通する不正プログラムが発見された。

　攻撃者側は利用者を装い、ＥＣサイトの注文フォームに不正なプログラムを作動させる文字列を入力。サイト管理者が注文内容を確認すると、顧客のカード情報などが本来は保存されないサーバーに残るよう改ざんされていたという。

　今回確認された不正プログラムの大半は、２０２１年に仕掛けられていた。犯罪グループはサーバーに組み込んだ「バックドア（裏口）」を通じ、カード情報などを定期的に窃取していたとみられる。不正なプログラムのソースコード（設計図）には中国で使用される簡体字が含まれていた。

　警察の指摘で初めて被害に気づいたケースが多く、全漁連は約２万件、タリーズコーヒージャパンは約９万件の個人情報が漏えいした可能性があると、それぞれ今年８月と１０月に公表していた。警察当局は不正指令電磁的記録供用容疑などを視野に捜査している。