「Webスキミング」について、不正指令電磁的記録供用罪と割賦販売法違反による逮捕がなされたようです。
https://mainichi.jp/articles/20231114/k00/00m/040/338000c
1
記事によれば以下のとおりです。
「闇サイト」が何を指すのかよく分かりませんが、被疑者は恒心教生徒を自称しているようで、普通にアクセス可能な掲示板なのではないかと思います。検索すると既に威力業務妨害罪、私電磁的記録不正作出・同供用罪、窃盗でも起訴されているようで、その「余罪」の一つとして本罪が出てきたのだろうと思います。
2
手口はXSSだろうと思いますが、いずれにせよ、クレジットカード情報のWebスキミングにおいては、攻撃者は通常、
クレジットカードを扱うサイトのCMSの脆弱性を利用し、
クレジットカード情報をサーバに保存するスクリプトを埋め込む(ちなみにPCI/DSSで非保持化が求められているので「正常」であれば保存しません)とともに、
上記により保存されたデータにインターネット経由でアクセスするためのバックドアを埋め込み(合わせて「改ざん行為」)、
バックドアを利用して定期的にクレジットカード情報をダウンロードし(「取得行為」)、
適当なWebサイト、店舗等でクレジットカード情報を利用し、サービス、金銭、物品等を取得する(「利用行為」)、
ことを行います。
今回のケースでは、改ざん行為を捉えて不正指令電磁的記録供用罪を、取得行為を捉えて割賦販売法違反の罪(同法49条の2第2項2号のクレジットカード番号等不正取得罪だと思います)を適用したものと考えられます。これらの行為にはそれぞれ不正アクセスの罪も成立する可能性がありますが、これらが適用されていない理由はよく分かりません(どのみち一罪と扱われる可能性があり、報道に出てきていないだけでしょうか)。
現在では有体物としてのクレジットカードはあまり重要な意味を持たなくなっていますが(個人的にもQuicPayが使えないお店でしか使いません)、刑法上は、クレジットカードの偽造は支払用カード電磁的記録に関する罪で厳重に禁止されている(文書偽造のアナロジーで作られたので準備罪まであります)のに対し、クレジットカード番号等の不正取得については刑法上の手当はされていません。割賦販売法上のクレジットカード番号等不正取得罪はこれを補う機能を果たしているのではないかと思います。
3
ところで、利用行為には、
窃盗罪(オンライン決済かつ物品を取得する場合)、
電子計算機使用詐欺罪(オンライン決済かつサービス、電子マネー等を取得する場合)、
詐欺罪(店頭決済の場合。番号等だけでは使用できないので、カードを偽造するか電子マネー等を経由する必要あり)
が成立する可能性があり、これらは上記と比べて圧倒的に法定刑が重いのですが、取得行為の段階でこれらの(既遂はもちろん)実行の着手を認めることは困難と思われます。今回のケースでは、既に悪用の疑いは生じているようなので、今後既遂でも立件するつもりなのだろうと思われます。
4
今回のケースは近時流行しているWebスキミングの初の逮捕例として注目を集めています(複数の新聞がそのような報じ方をしているので、京都府警の担当者がそうアピールしたのだろうと思われます)。もっとも、実際のWebスキミングの大半は海外から収益目的で組織的に行われており、それゆえに摘発が難しいのだと考えられます。これと対比すると、今回のケースで被疑者を摘発できたのは、国内から興味本位で個人的に行われた犯行であり、したがってたまたま捜査上の障害が少なかったことによるものと考えられます。そうすると、刑事罰による抑止力にはあまり期待できない状況が続くと思われ、ECサイト運営者には適切な対策(といってもまずはちゃんとアップデートをするとかそのレベルのことなんですが)が求められることになります。