ハードボイルドスロット

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

国内で初めて摘発されたWebスキミング事案についてまとめてみた

2023年11月15日、京都府警などはWebスキミングによるクレジットカード情報の窃取を行っていた疑いとして男を不正指令電磁的記録供用や割賦販売法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。

Webスキミング事案 国内初摘発

  • 男の容疑は不正指令電磁的記録供用と割賦販売法違反。2022年10月下旬から11月23日にかけ、音楽グループの公式オンラインショップに対しクレジットカード情報を窃取する不正プログラムを仕組み、同サイトで商品を購入しようとした3人のクレジットカード情報を入手した疑いがある。*1 この通販サイトでは数件の被害が確認されており、購入手続きで必要となるクレジットカード情報を入力した際に不正なプログラムが実行され、利用者が入力した情報を男が収集していたとみられている。*2
  • 男は恒心教と呼ばれる活動に参加しており、2023年8月に爆破予告のFAX送信を行っていたとして警視庁に逮捕、その後起訴されている。*3 今回の事案についても取り調べに対し「恒心教内で不正アクセスが流行っており、興味本位で不正プログラムを設置した」として容疑を認める供述をしている。*4

doublegateinn.com

  • この活動に関わっていた男とともに私電磁的記録不正作出および同供用の容疑で二人を逮捕、再逮捕している。二人で共謀し、2023年5月6日から30日までの間、不正に入手した男性5人のクレジットカード情報を用い、オンラインショップでアニメ関連のブルーレイディスク14点(約21万5000円分)を購入、その後共謀した男の私書箱に配送させ盗んだ疑いがある。二人とも容疑を認めている。*5
  • 男が行っていたのはWebスキミングと呼ばれている手口。ECサイトの脆弱性を悪用するなどして利用者が不正なスクリプトを参照するようにサイトを改ざん。利用者は気づかずに不正なスクリプトを読み込み、購入を行う際に入力を行ったクレジットカード情報を攻撃者のサーバーへ送信するもの。JC3によれば、Webスキミングによるクレジットカード情報の窃取は2019年頃より国内のサイトで確認されており、2022年3月に注意を呼び掛けていた。*6 京都府警によれば、Webスキミングの実行犯の摘発は全国で初めて。*7
音楽グループのECサイトを標的としたWebスキミングの概要

掲示板のカード情報書込を発見し捜査開始

  • 発端は京都府警のサイバーパトロール。恒心教のネット掲示板上で100件を超えるクレジットカード情報が掲載されていたことを発見し捜査を行っていた。府警は盗まれたこの約100件のクレジットカード情報と男の関連や実際に不正利用の被害もあったことから、流出している情報が悪用されている疑いもあるとして捜査を進めていた。*8 *9 男はこの手口によって約500件のクレジットカード情報を取得し、この内60件ほどを不正に利用し、被害総額は900万円以上とみられている。*10

更新履歴

  • 2023年11月16日 AM 新規作成
  • 2023年11月16日 PM 攻撃概要図を追加
  • 2023年12月7日 PM 続報追記(再逮捕の件)

*1:,産経新聞,2023年11月15日

*2:,京都新聞,2023年11月15日

*3:,毎日新聞,2023年11月15日

*4:,NHK,2023年11月15日

*5:,読売新聞,2023年12月6日

*6:,日本サイバー犯罪対策センター,2022年3月22日

*7:,読売新聞,2023年11月15日

*8:,毎日新聞,2023年11月15日

*9:,MBS,2023年11月15日

*10:,京都新聞,2023年12月6日