改変OSのパソコン販売 不正送金の踏み台に 脆弱性知りつつ対策放置のツケ

衝撃事件の核心

 利益至上主義で犯罪に手を染めてしまう企業は後を絶たないが、知らぬ間にさらなる悪事の「道具」にされるとは想像しなかったのだろうか-。マイクロソフト社の基本ソフト(OS)「ウィンドウズ」を改変したパソコンを販売したとして、商標法違反容疑でIT会社「ビレイ」(名古屋市)の社長らが警視庁に逮捕された。改変によって生じたソフトの脆弱(ぜいじゃく)性が中国人犯罪グループに目をつけられ、3千万円以上の不正送金の「中継点」として利用されることになった。社長らは“異変”に気づいていたというが、対策を怠ったツケが重大な結果を引き起こした。

「複数人で同時利用を」

 平成24年、東京都渋谷区と北九州市内の美容室に、2台のパソコンが納入された。レジや顧客管理をするために美容室がビレイから購入したものだった。

 いずれもOSとして「ウィンドウズ7プロフェッショナル」が搭載されているとされていたが、本来であれば複数のアカウントから同時にログオンできない仕様になっているところを、別のパソコンからも同時にログオンできるよう改変されていたという。

 警視庁サイバー犯罪対策課は今年1月、商標法違反の疑いで、ビレイ社長の男(69)や役員、第1営業部長ら5人を逮捕した。男らは「パソコンは販売したが、(改変は)社員が勝手にやったことだと思う」などと容疑を否認。一方、23年ごろから販売されていた改変OSには、さまざまな広告に「複数アカウントで同時に使える」などとうたわれていた。

 法人登記などによると、ビレイは昭和51年4月設立。平成8年ごろから美容室向けのパソコンソフト販売を始め、現在では関西を中心に美容室やエステ店など1千社と取引がある。

 捜査関係者によると、取引先に複数の美容室などを経営する企業があり、「顧客管理をしているパソコンに複数の店舗から同時にアクセスしたい」などと要望を受け、改変したとみられるという。

中国人犯罪グループの“踏み台”に

 しかし、払った代償は大きかった。

 メガバンクのインターネットバンキング利用者らのIDやパスワードを不正に入手した何者かが、ビレイの改変OSにログオンして金融機関にアクセス。中国人名義の口座に送金するという不正送金の踏み台に使われたのだ。

 中国人とみられるこの犯罪グループは、メガバンクのサイトにそっくりなサイトに誘導するメールをばらまき、IDやパスワードを入力させて入手していた。

 通常のウィンドウズ7であれば、1つのアカウントでログオン中は別アカウントでログオンすることができないため、不正送金に常時使うことはできない。しかしOSの改変によって複数アカウントでの同時ログオンが可能になっていたため、犯行を容易にさせることとなった。最大で1台のパソコンに約30のアカウントが作られていた例もあったという。

 同課によると、28年3~8月、10店舗のパソコンが踏み台にされ、少なくとも3千万円が不正送金されたとみられる。

 このほかにも踏み台にされた美容室のメールアドレスからスパムメールがばらまかれるなどの被害もあり、美容室に苦情も寄せられていた。

 ビレイには25年には取引先から「パソコンが異様に重い」などと苦情が寄せられてもいたという。捜査幹部は「不具合にはその時点で気づいていたが、大事にならないよう根本的な対策をしていなかったんだろう」と推察する。同課は、ビレイが別の社に納入していたパソコンにも改変OSが搭載され、踏み台にされた恐れもあるとみて調べている。

 不具合を知りながら放置していたとすれば、そのツケは、何より大切な自社の「信用」を傷つける結果となって回ってきてしまったようだ。