【セキュリティ】11社のサイトで顧客情報流出か　タリーズコーヒーなど　警視庁捜査

　捜査関係者などによると、都内で被害が確認されたのは、大手コーヒーチェーン「タリーズコーヒージャパン」（新宿区）や「全国漁業協同組合連合会（全漁連）」（中央区）など11の企業や団体が運営するインターネット通販などのECサイト。

　何者かが利用者を装い、ECサイトの注文フォームなどに不正なプログラムを発動させる文字列を入力。サイトの運営側が入力された内容を確認すると、プログラムが発動し、攻撃者側が遠隔でサイトを改ざんできる仕組みだった。

　その後、ECサイトで顧客が新規に個人情報を登録すると、それが攻撃者側に流出していたという。

　改ざん後もサイトでの買い物などは通常通りできるため、運営側が長期にわたって被害に気づかないケースも確認されている。タリーズからは2020年10月からの約3年半で顧客のクレジットカード情報など約9万件、全漁連からは21年4月からの約3年で約2万件の情報が抜き取られていたとみられる。

　他にも数万件単位で情報流出が確認されている企業もあり、被害はさらに拡大しているという。

　改ざんには、特定の国で使われる文字列が使われており、警視庁などは海外の犯罪グループによる攻撃の可能性があるとみて捜査。IPアドレス（インターネット上の住所）などを解析し、情報の流出先などの特定を進めている。

　情報セキュリティー大手「トレンドマイクロ」で企業などのアドバイザーを務める岡本勝之さんは「被害に遭ったECサイトは、遠隔操作で改ざんできる『穴』があったとみられる。即座に検知するプログラムを導入するなど、定期的にセキュリティーを更新する必要がある」と話した。【加藤昌平】

毎日新聞
2024/12/2 19:28（最終更新 12/2 21:07）
https://mainichi.jp/articles/20241202/k00/00m/040/206000c