サイバー攻撃

【シャープ】不正アクセスによりWebサイト改ざんされ情報漏洩

2024年07月29日に、シャープの運営するECサイトが不正に改ざんされ、ユーザーが悪意のあるサイトへ誘導されていたことがが発表されました。

この事件によって漏洩した情報は何なのか、手口はどのようなものなのか、本記事では、シャープの公式リリースや各報道から事件の詳細まとめて解説・考察まで行っています。

シャープ公式オンラインストアが不正アクセスを受ける

2024年07月29日に発表されたリリースによるとシャープ公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」への第三者による不正アクセスにより、これらのサービスを利用していた一部顧客の個人情報が外部へ流出していたことが判明したとのことです。

出典:シャープ

不正アクセスを発見した経緯

時系列
  1.  2024年7月11日:「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあった。
  2.  2024年7月22日:不正アクセスが判明し、調査開始。
  3.  2024年7月23日:顧客の個人情報が、7月11日に流出していたことが、新たに判明した。

2024年7月22日午前10時52分、「COCORO STORE」への不正アクセスによる改ざんが判明しました。

2024年7月19日午前4時19分から7月22日午前10時52分にかけて、「COCORO STORE」のウェブサイト上にアクセスしたユーザーを、悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたことが判明しました。

2024年7月23日、さらなる調査を進めるなかで、2024年7月11日の時点で「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあったこと、および「COCORO STORE」または「ヘルシオデリ」を利用した一部顧客の個人情報が、同日に流出していたことが、新たに判明したと発表がありました。

不正アクセスの手口

「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因と発表されていますが、どのような脆弱性かは発表されていません。

漏洩した個人情報

7月19日から22日にかけて公式ストアにログイン・買い物をした約2万6千人については、下記情報の流出の可能性があると発表がありました。

  • 住所
  • 氏名
  • 電話番号
  • メールアドレス
  • パスワード
  • 生年月日
  • 性別
  • 新規登録のクレジットカード情報

また、同期間に「COCORO STORE」にアクセスしたユーザーの内、ログインもしくは商品の注文を行っていないユーザー(推定約75,000人)についても、悪意のあるサイトへ誘導され、強制的にウイルスをインストールされている可能性を完全に否定することができないと発表されています。

シャープの対応

「COCORO STORE」および「ヘルシオデリ」のウェブサイトは、不正アクセスの判明後、一時停止。個人情報が流出した顧客および、該当期間に「COCORO STORE」のウェブサイトへログインの上アクセスした顧客に対して、電子メールにて連絡を開始していると発表がありました。

2024年07月29日時点では、流出した個人情報の不正利用などの二次被害は確認されておらず、個人情報保護委員会への報告や警察への届出をし、引き続き調査を進めているとも発表がありました。

また、シャープは顧客に対してウイルススキャンとパスワードの変更の協力を呼び掛けていました。

ソフトウェアの脆弱性とは?

脆弱性とはセキュリティ上の欠点を指します。Webサイトはアプリケーションやソフトウェアで構築されており、開発元が利便性向上やセキュリティ向上のため日々更新していますが、社内のリソース不足などが原因でアップデートされず脆弱性が放置されていると攻撃を受ける可能性が高くなります。

定期的に脆弱性診断を行うことで、セキュリティの脆弱性を洗い出し、対策を行うことができます。

>脆弱性診断についてはこちら

今回の手口は「クロスサイト・スクリプティング」(XSS)に該当し、クロスサイト・スクリプティングとはターゲットとなるWEBサイトの脆弱性を利用して閲覧したユーザーを悪質なサイトへ誘導するスクリプトを挿入するサイバー攻撃です。

>WEBサイトの改ざんについてはこちら

実際にどういった手口で改ざんが行われたのかは、きちんと調査しなければ分かりません。調査してみると重大な脆弱性が放置されていたことが発覚するケースもあるため、WEBサイトの改ざん被害に遭った際は一刻も早く専門家によるフォレンジック調査を行うことが望ましいです。

フォレンジック調査とは

フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。

もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。

インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。

私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。

相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。

\相談から最短30分でWeb打ち合わせを開催/

 

DDFは累計ご相談件数3.2万件以上のフォレンジック調査サービスです

累計ご相談件数32,377件以上の豊富な実績

まとめ

今回の記事では、シャープが不正アクセスされ情報漏洩が起きた件についてまとめました。

今回の手口はWebサイト改ざんと呼ばれるものです。Webサイト改ざんについて詳しく知りたい方は、下記に解説記事がありますのでお読みください。

関連記事

WEBサイトの改ざんとは?手口や被害調査の方法を紹介WEBサイトの改ざんの被害を受けた場合、管理者の意図に反する情報の発信や悪意のあるプログラムが埋め込まれて閲覧したユーザーにまで被害が及ぶことがあるため非常に危険です。WEBサイトが改ざんされる原因やその手口、および被害調査の方法などについて解説します。...
【2023年最新】個人情報漏えいへの対応と被害事例を網羅紹介
【最新】個人情報漏えい時における対応方法とフォレンジック調査について紹介個人情報漏えいに対する対応策と、実際に発生した被害事例を網羅的に紹介します。フォレンジック調査は、情報漏えいやセキュリティ侵害の発生時に重要な役割を果たす専門的な手法です。当サービスはデータ復旧専門業者14年連続データ復旧国内売上No.1、ご相談件数約2.4万件、データ復旧率95.2%の実力を活かしたフォレンジックサービスです。...

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数32,377件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
必 須
必 須
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある