約20都道府県、約40の企業や団体のインターネット通販サイトなどが不正なプログラムを仕掛けられて改竄（かいざん）され、顧客情報が流出した恐れがあることが、警察庁への取材で分かった。手口が共通しており、警察当局は国外の犯行グループが関与している可能性があるとみて、不正指令電磁的記録供用容疑などを視野に捜査している。 改竄は今年、警察庁のサイバー特別捜査部が行った調査で発覚。令和3年ごろに行われたものが多いとみられるが、大半は今年、警察庁の指摘で被害に気付いたという。 何者かが通販サイトの情報入力フォームなどに不正なプログラムを仕掛け、運営者側が内容を確認すると、プログラムが発動してサイトを改竄。顧客がクレジットカード情報などを入力すると、情報が攻撃者側のサーバーに保存されるようになっていた。攻撃者は情報を別サーバーへ転送させるなどして、情報を抜き取っていた可能性がある。改竄に使用された文字列には中国の簡体字が含まれていたという。 東京都内では、大手コーヒーチェーン「タリーズコーヒージャパン」など12の企業や団体で被害を確認。タリーズコーヒージャパンによると、約9万2千件の氏名や住所などの個人情報、約5万2千件のクレジットカード情報が漏洩（ろうえい）した可能性がある。 ■通販サイトを狙い 警察庁の捜査で発覚した不正プログラムによるサイト改竄では、インターネットの通販サイトに不正プログラムを仕掛け、利用者のクレジットカード情報を抜き取る「ウェブスキミング」という手口が使われたとみられる。正規サイトに入力した情報が盗まれるため、被害に長期間気付きにくく、専門家は「サイト側の対策が重要」と警鐘を鳴らす。 似た手口の「フィッシング」は、実在の企業などを装ってメールを送りつけ、偽サイトに誘導し、個人情報を窃取する。URLや画面表示が本物と違い、注意すれば利用者も気付くことは可能だ。一方、ウェブスキミングは正規サイトそのものを改竄しているため、画面上で見抜くのは極めて難しい。 情報セキュリティー会社「トレンドマイクロ」によると、ウェブスキミングはサイトに保存された個人情報やクレジットカード情報を盗むのではなく、利用者がサイトに情報を入力した際に、別サイトへ送信され、リアルタイムで盗まれるという。被害に気付きにくいため、被害が長期間に及ぶほか、警察やクレジットカード会社など外部からの連絡を受け、初めて情報漏洩に気づくケースが多い。タリーズジャパンのケースでも警視庁からの連絡で被害が発覚し、情報が漏洩した可能性がある期間は令和3年7月から6年5月に及んだ。