お問い合わせ
2024年07月29日に発表されたリリースによるとシャープ公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」への第三者による不正アクセスにより、これらのサービスを利用していた一部顧客の個人情報が外部へ流出していたことが判明したとのことです。
2024年10月16日に調査機関による調査が完了し、個人情報流出の可能性がある顧客は5,836人で、その内4,257人の顧客に関してはクレジットカード情報を含む個人情報が流出した可能性がある事実の確認ができたと発表されました。
この事件によって漏洩した情報は何なのか、手口はどのようなものなのか、本記事では、シャープの公式リリースや各報道から事件の詳細まとめて解説・考察まで行っています。
目次
シャープ公式オンラインストアが不正アクセスを受ける
2024年07月29日に発表されたリリースによるとシャープ公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」への第三者による不正アクセスにより、これらのサービスを利用していた一部顧客の個人情報が外部へ流出していたことが判明したとのことです。
2024年10月16日の調査機関による調査結果から個人情報流出の可能性がある顧客は5,836人で、その内4,257人の顧客に関してはクレジットカード情報を含む個人情報が流出した可能性がある事実の確認ができたとのことです。
出典:シャープ
不正アクセスを発見した経緯
- 2024年7月11日:「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあった。
- 2024年7月22日:不正アクセスが判明し、調査開始。
- 2024年7月23日:顧客の個人情報が、7月11日に流出していたことが、新たに判明した。
- 2024年10月16日:調査機関による調査結果から5,836人の顧客に個人情報流出の可能性があり、その内4,257人の顧客に関してはクレジットカード情報を含む個人情報が流出した可能性がある事実が確認された。
2024年7月22日午前10時52分、「COCORO STORE」への不正アクセスによる改ざんが判明しました。
2024年7月19日午前4時19分から7月22日午前10時52分にかけて、「COCORO STORE」のウェブサイト上にアクセスしたユーザーを、悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたことが判明しました。
2024年7月23日、さらなる調査を進めるなかで、2024年7月11日の時点で「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあったこと、および「COCORO STORE」または「ヘルシオデリ」を利用した一部顧客の個人情報が、同日に流出していたことが、新たに判明したと発表がありました。
2024年10月16日、調査機関による調査結果から5,836人の顧客に個人情報流出の可能性があり、その内4,257人の顧客に関してはクレジットカード情報を含む個人情報が流出した可能性がある事実が確認されたと発表がありました。
不正アクセスの手口
「COCORO STORE」のウェブサイトが改ざんされ、クレジットカード情報やその他の個人情報を入力し注文を確定した場合に、これらの情報が第三者に窃取されるプログラムが埋め込まれていたことが判明しました。
出典:シャープ
漏洩した個人情報
漏洩した・漏洩した可能性がある顧客は下記になります。
- 個人情報が流出した顧客
- クレジットカード情報流出の可能性がある顧客
- 個人情報流出の可能性がある顧客
個人情報が流出した顧客
2024年6月30日に「COCORO STORE」、2024年6月23日~30日に「ヘルシオデリ」でご注文されたお客様の一部および、これらのご注文において、顧客のご登録住所と配送先住所が異なるご注文をされた顧客(203人)は下記の情報が流出していると発表されています。
- 氏名
- 郵便番号
- 住所
- 電話番号
- メールアドレス等の注文情報
※クレジットカード情報は含まれていません。
クレジットカード情報流出の可能性がある顧客
2024年7月19日4時19分~2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、クレジットカード情報を含む個人情報を入力し、かつ注文を確定された顧客(4,257人)は下記の情報が流出している可能性があると発表されています。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
- 住所
- 氏名
- 電話番号
- メールアドレス
- パスワード
個人情報流出の可能性がある顧客
2024年7月19日4時19分~2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、個人情報(クレジットカード情報を除く)を入力し、かつ注文を確定された顧客(1,376人)は下記の情報が流出している可能性があると発表されています。
- 住所
- 氏名
- 電話番号
- メールアドレス
- パスワード
※クレジットカード情報は含まれていません。
引用:シャープ
シャープの対応
「COCORO STORE」および「ヘルシオデリ」のウェブサイトは、不正アクセスの判明後、一時停止。個人情報が流出した顧客および、該当期間に「COCORO STORE」のウェブサイトへログインの上アクセスした顧客に対して、電子メールにて連絡を開始していると発表がありました。
2024年07月29日時点では、流出した個人情報の不正利用などの二次被害は確認されておらず、個人情報保護委員会への報告や警察への届出をし、引き続き調査を進めているとも発表がありました。
また、シャープは顧客に対してウイルススキャンとパスワードの変更の協力を呼び掛けており、お客様がクレジットカードの差し替えを希望する場合には、カード再発行の手数料をお客様に負担をかけないようクレジットカード会社に依頼いるとのことです。
ソフトウェアの脆弱性とは?
脆弱性とはセキュリティ上の欠点を指します。Webサイトはアプリケーションやソフトウェアで構築されており、開発元が利便性向上やセキュリティ向上のため日々更新していますが、社内のリソース不足などが原因でアップデートされず脆弱性が放置されていると攻撃を受ける可能性が高くなります。
定期的に脆弱性診断を行うことで、セキュリティの脆弱性を洗い出し、対策を行うことができます。
今回の手口は「クロスサイト・スクリプティング」(XSS)に該当し、クロスサイト・スクリプティングとはターゲットとなるWEBサイトの脆弱性を利用して閲覧したユーザーを悪質なサイトへ誘導するスクリプトを挿入するサイバー攻撃です。
実際にどういった手口で改ざんが行われたのかは、きちんと調査しなければ分かりません。調査してみると重大な脆弱性が放置されていたことが発覚するケースもあるため、WEBサイトの改ざん被害に遭った際は一刻も早く専門家によるフォレンジック調査を行うことが望ましいです。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。
相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
今回の記事では、シャープが不正アクセスされ情報漏洩が起きた件についてまとめました。
今回の手口はWebサイト改ざんと呼ばれるものです。Webサイト改ざんについて詳しく知りたい方は、下記に解説記事がありますのでお読みください。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
