Webスキミングでの初の逮捕例(不正指令電磁的記録供用罪・割賦販売法違反)について

「Webスキミング」について、不正指令電磁的記録供用罪と割賦販売法違反による逮捕がなされたようです。

https://mainichi.jp/articles/20231114/k00/00m/040/338000c

1

記事によれば以下のとおりです。

捜査関係者によると、男性は2022年、音楽コンサートのチケットやグッズを販売する通販サイトに何らかの方法で侵入。特殊なプログラムを仕掛け、利用客数人のカード情報を不正に抜き取った疑いが持たれている。カード情報が悪用された疑いもあり、府警は裏付け捜査を進めている。…府警は、ネット上の闇サイトに特定のカード情報が掲示されているのを見つけて捜査を開始。闇サイトへのアクセス記録などの解析を進めた結果、男性が関与した疑いが浮上した。

「闇サイト」が何を指すのかよく分かりませんが、被疑者は恒心教生徒を自称しているようで普通にアクセス可能な掲示板なのではないかと思います。検索すると既に威力業務妨害罪、私電磁的記録不正作出・同供用罪、窃盗でも起訴されているようで、その「余罪」の一つとして本罪が出てきたのだろうと思います。

2

手口はXSSだろうと思いますが、いずれにせよ、クレジットカード情報のWebスキミングにおいては、攻撃者は通常、

  1. クレジットカードを扱うサイトのCMS脆弱性を利用し、

    1. クレジットカード情報をサーバに保存するスクリプトを埋め込む(ちなみにPCI/DSSで非保持化が求められているので「正常」であれば保存しません)とともに、

    2. 上記により保存されたデータにインターネット経由でアクセスするためのバックドアを埋め込み(合わせて「改ざん行為」)、

  2. バックドアを利用して定期的にクレジットカード情報をダウンロードし(「取得行為」)、

  3. 適当なWebサイト、店舗等でクレジットカード情報を利用し、サービス、金銭、物品等を取得する(「利用行為」)、

ことを行います。

今回のケースでは、改ざん行為を捉えて不正指令電磁的記録供用罪を、取得行為を捉えて割賦販売法違反の罪(同法49条の2第2項2号のクレジットカード番号等不正取得罪だと思います)を適用したものと考えられます。これらの行為にはそれぞれ不正アクセスの罪も成立する可能性がありますが、これらが適用されていない理由はよく分かりません(どのみち一罪と扱われる可能性があり、報道に出てきていないだけでしょうか)。

現在では有体物としてのクレジットカードはあまり重要な意味を持たなくなっていますが(個人的にもQuicPayが使えないお店でしか使いません)、刑法上は、クレジットカードの偽造は支払用カード電磁的記録に関する罪で厳重に禁止されている(文書偽造のアナロジーで作られたので準備罪まであります)のに対し、クレジットカード番号等の不正取得については刑法上の手当はされていません。割賦販売法上のクレジットカード番号等不正取得罪はこれを補う機能を果たしているのではないかと思います。

より専門的な議論:上記のケースで不正アクセスの罪が成立するかは、実はそれほどクリアではない気がします。該当しうるとすれば、不正アクセス禁止法2条4項2号ですが、同号は、「アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報…又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」と規定しています。入力する「情報…又は指令」は「アクセス制御機能による特定利用の制限を免れることができる」ものであることが必要であり、上記の改ざん行為・取得行為がこれに当たるかについては、議論の余地があるように思います。成立前提で説明するとすれば、
改ざん行為(具体的にはインターネット経由でバックドアにアクセスし、CMSXSS脆弱性を利用した不正注文をする行為)は、本来Webサーバの管理者権限がなければできないHTML編集等の操作を可能とするものだから「アクセス制御機能による特定利用の制限を免れることができる…指令」に当たる、
取得行為は、本来Webサーバの管理者権限がなければできない不正に保存させたデータのダウンロード等の操作を可能とするものだから「アクセス制御機能による特定利用の制限を免れることができる…指令」に当たる、
ということになるのだと思います。ちなみにここに警視庁の解説があり、6ページ以下に不正アクセス行為に関する記載があります。

3

ところで、利用行為には、

  • 窃盗罪(オンライン決済かつ物品を取得する場合)、

  • 電子計算機使用詐欺罪(オンライン決済かつサービス、電子マネー等を取得する場合)、

  • 詐欺罪(店頭決済の場合。番号等だけでは使用できないので、カードを偽造するか電子マネー等を経由する必要あり)

が成立する可能性があり、これらは上記と比べて圧倒的に法定刑が重いのですが、取得行為の段階でこれらの(既遂はもちろん)実行の着手を認めることは困難と思われます。今回のケースでは、既に悪用の疑いは生じているようなので、今後既遂でも立件するつもりなのだろうと思われます。

4

今回のケースは近時流行しているWebスキミングの初の逮捕例として注目を集めています(複数の新聞がそのような報じ方をしているので、京都府警の担当者がそうアピールしたのだろうと思われます)。もっとも、実際のWebスキミングの大半は海外から収益目的で組織的に行われており、それゆえに摘発が難しいのだと考えられます。これと対比すると、今回のケースで被疑者を摘発できたのは、国内から興味本位で個人的に行われた犯行であり、したがってたまたま捜査上の障害が少なかったことによるものと考えられます。そうすると、刑事罰による抑止力にはあまり期待できない状況が続くと思われ、ECサイト運営者には適切な対策(といってもまずはちゃんとアップデートをするとかそのレベルのことなんですが)が求められることになります。