販売サイトに不正プログラムを仕掛け、利用者のクレジットカード情報を抜き取る「ウェブスキミング」と呼ばれる手口が全国で初めて立件された。偽サイトに誘い込む「フィッシング」と異なり正規サイトを悪用するため、知らぬ間に被害に遭うケースが相次いでいる。専門機関は「利用者が見抜くのは非常に困難でサイト側の対策が必要」と警鐘を鳴らす。
「巧妙な手口だ。これでは被害に気付かないだろう」。京都府警の捜査幹部は危機感を募らせる。
府警と奈良、山口、大分各県警の合同捜査本部は15日、不正指令電磁的記録供用などの疑いで、埼玉県草加市の無職男(26)を逮捕した。
府警によると、利用者が音楽グループの公式サイトでグッズを買おうと手続きを進めると、改変された決済ページが表示。入力したカード番号などが男に伝わる仕組みになっていた。男が不正アクセスし、カード決済に関するプログラムを改ざんしたとみられる。
捜査の端緒は、サイバーパトロールでインターネット掲示板に100件以上のカード情報がさらされているのを発見したことだった。府警は、男が情報を売り利益を得た可能性もあるとみて調べている。
似た手口のフィッシングは、利用者にメールなどを送り付け偽サイトに誘導し情報を入手する。ただURLや画面表示が本物と違い、注意すれば利用者も気付ける。
一方でウェブスキミングは正規サイトそのものを内部で変えており、画面上で見抜くのは極めて難しい。今回の事件でも購入自体は問題なく完了したため、被害が裏付けられた利用者3人は抜き取りに気付かなかった。不審なカード利用履歴がないかをこまめに確認するなど、利用者側の対策は限られるのが現状だ。
日本サイバー犯罪対策センターによると、2019年ごろから国内でウェブスキミングの事例が報告され始めた。セキュリティー企業のトレンドマイクロが把握する被害件数は22年8件だったが23年は既に26件に上る。
日本クレジット協会によると、国内発行カードの不正利用被害額は22年に436億円に上り、統計が始まった1997年以来最悪だった。うち94%は他人のカード番号などを使う手口で、ウェブスキミングも含まれる。
システムの脆弱(ぜいじゃく)性が狙われることが多く、日本サイバー犯罪対策センターは、ソフトウエア更新やパスワード強化などサイト管理者に重点的な対策を呼びかけている。
トレンドマイクロの担当者は「脆弱性が放置されたサイトが狙われる。セキュリティーを最新にすることが大切だ」と述べた。
有料
正規サイトから不正に情報 ウェブスキミング 見抜くの困難、対策急務
「ウェブスキミング」によるカード情報抜き取りの流れ
この記事を書いた人
琉球新報朝刊
琉球新報朝刊 
