京都府警、奈良県警、山口県警、大分県警の合同捜査本部は11月15日、音楽グループの通販サイトに不正なプログラムを仕掛けた上、商品を購入しようとした人のクレジットカード情報を盗んだとして、不正指令電磁的記録供用違反と割賦販売法違反の疑いで、埼玉県草加市の無職、大熊翔容疑者(26)を逮捕した。

 
　京都府警サイバー捜査課によれば、大熊容疑者は昨年10月下旬～11月22日ごろ、音楽グループの通販サイトの決済ページに不正なプログラムを仕掛け、カード情報を盗み出せる状態とした上で、11月5～23日には3回に渡って、サイトでカード決済をしようとした利用者のカード情報を盗み出したとして、不正指令電磁的記録供用違反と割賦販売法違反の疑いで逮捕されたもの。

　大熊容疑者が用いたのは、「通販サイトのカード情報入力フォームを改ざんすることで悪意あるJavaScriptを仕掛け、ユーザーが入力中のカード情報を盗む」という手法で、最近は「ウェブスキミング」と呼ばれている。改ざんされたフォームに利用者がカード情報を入れると、確認ボタンを押したタイミングで外部のサーバーにデータが送信されてしまう。決済代行業者にもカード情報は流れ、注文処理は正常に行われることから、事態が発覚しにくいのが特徴だ。

　同課によると、同様の手口で入力フォームに不正なプログラムを設置し、カード情報を盗み出した容疑で、不正指令電磁的記録供用違反と割賦販売法違反を適用したのは、全国でも初とみられる。ウェブアプリケーションに関するセキュリティーの第一人者である、EGセキュアソリューションズの徳丸浩取締役CTOによれば、同様の手法でのカード情報窃取が日本で初めて報告されたのは、2013年3月に発覚したジェイアイエヌ(現ジンズ)の「JINSオンラインショップ」が不正アクセスを受けた事件という。そのため、ウェブスキミングが国内で用いられるようになってから初めて摘発されるまで、約10年かかったことになる。

　警察がサイバーパトロールを行った際、不正に入手したとみられるカード情報が書き込まれている匿名掲示板を見つけたことが発覚のきっかけ。同課によると、この掲示板には大熊容疑者が書き込みをしていたとみられ、入手したカード情報の一部(100件以上)を掲示板に載せ、仮想通貨と引き換えに大量のカード情報を販売しようとした可能性がある。

　大熊容疑者は「興味本位でサイトに不正プログラムを設置し、他人のクレジットカード情報を盗んだ」と供述し、容疑を認めているという。不正なプログラムの入手先や仕掛けた通販サイトの数、入手したカード情報の数や、カード情報をどのように利用したかなどについては、今後追求する方針だ。