国内約40の企業・団体が運営する電子商取引(EC)サイトに、不正なプログラムが仕掛けられていたことが、警察庁への取材でわかった。
警察庁は、登録されたクレジットカードなどの個人情報を窃取する目的で、海外の同一グループが関与したとみている。
警察庁は今年に入り、過去に類似の被害が出たソフトで構築された国内のECサイトを調査した。その結果、タリーズコーヒージャパン(東京)や全国漁業協同組合連合会(同)など約40の企業・団体のECサイトで、共通する不正プログラムが発見された。
攻撃者側は利用者を装い、ECサイトの注文フォームに不正なプログラムを作動させる文字列を入力。サイト管理者が注文内容を確認すると、顧客のカード情報などが本来は保存されないサーバーに残るよう改ざんされていたという。
今回確認された不正プログラムの大半は、2021年に仕掛けられていた。犯罪グループはサーバーに組み込んだ「バックドア(裏口)」を通じ、カード情報などを定期的に窃取していたとみられる。不正なプログラムのソースコード(設計図)には中国で使用される簡体字が含まれていた。
警察の指摘で初めて被害に気づいたケースが多く、全漁連は約2万件、タリーズコーヒージャパンは約9万件の個人情報が漏えいした可能性があると、それぞれ今年8月と10月に公表していた。警察当局は不正指令電磁的記録供用容疑などを視野に捜査している。