お問い合わせ
2024年07月29日に、シャープの運営するECサイトが不正に改ざんされ、ユーザーが悪意のあるサイトへ誘導されていたことがが発表されました。
この事件によって漏洩した情報は何なのか、手口はどのようなものなのか、本記事では、シャープの公式リリースや各報道から事件の詳細まとめて解説・考察まで行っています。
目次
シャープ公式オンラインストアが不正アクセスを受ける
2024年07月29日に発表されたリリースによるとシャープ公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」への第三者による不正アクセスにより、これらのサービスを利用していた一部顧客の個人情報が外部へ流出していたことが判明したとのことです。
出典:シャープ
不正アクセスを発見した経緯
- 2024年7月11日:「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあった。
- 2024年7月22日:不正アクセスが判明し、調査開始。
- 2024年7月23日:顧客の個人情報が、7月11日に流出していたことが、新たに判明した。
2024年7月22日午前10時52分、「COCORO STORE」への不正アクセスによる改ざんが判明しました。
2024年7月19日午前4時19分から7月22日午前10時52分にかけて、「COCORO STORE」のウェブサイト上にアクセスしたユーザーを、悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたことが判明しました。
2024年7月23日、さらなる調査を進めるなかで、2024年7月11日の時点で「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあったこと、および「COCORO STORE」または「ヘルシオデリ」を利用した一部顧客の個人情報が、同日に流出していたことが、新たに判明したと発表がありました。
不正アクセスの手口
「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因と発表されていますが、どのような脆弱性かは発表されていません。
漏洩した個人情報
7月19日から22日にかけて公式ストアにログイン・買い物をした約2万6千人については、下記情報の流出の可能性があると発表がありました。
- 住所
- 氏名
- 電話番号
- メールアドレス
- パスワード
- 生年月日
- 性別
- 新規登録のクレジットカード情報
また、同期間に「COCORO STORE」にアクセスしたユーザーの内、ログインもしくは商品の注文を行っていないユーザー(推定約75,000人)についても、悪意のあるサイトへ誘導され、強制的にウイルスをインストールされている可能性を完全に否定することができないと発表されています。
シャープの対応
「COCORO STORE」および「ヘルシオデリ」のウェブサイトは、不正アクセスの判明後、一時停止。個人情報が流出した顧客および、該当期間に「COCORO STORE」のウェブサイトへログインの上アクセスした顧客に対して、電子メールにて連絡を開始していると発表がありました。
2024年07月29日時点では、流出した個人情報の不正利用などの二次被害は確認されておらず、個人情報保護委員会への報告や警察への届出をし、引き続き調査を進めているとも発表がありました。
また、シャープは顧客に対してウイルススキャンとパスワードの変更の協力を呼び掛けていました。
ソフトウェアの脆弱性とは?
脆弱性とはセキュリティ上の欠点を指します。Webサイトはアプリケーションやソフトウェアで構築されており、開発元が利便性向上やセキュリティ向上のため日々更新していますが、社内のリソース不足などが原因でアップデートされず脆弱性が放置されていると攻撃を受ける可能性が高くなります。
定期的に脆弱性診断を行うことで、セキュリティの脆弱性を洗い出し、対策を行うことができます。
今回の手口は「クロスサイト・スクリプティング」(XSS)に該当し、クロスサイト・スクリプティングとはターゲットとなるWEBサイトの脆弱性を利用して閲覧したユーザーを悪質なサイトへ誘導するスクリプトを挿入するサイバー攻撃です。
実際にどういった手口で改ざんが行われたのかは、きちんと調査しなければ分かりません。調査してみると重大な脆弱性が放置されていたことが発覚するケースもあるため、WEBサイトの改ざん被害に遭った際は一刻も早く専門家によるフォレンジック調査を行うことが望ましいです。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。
相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.2万件以上のフォレンジック調査サービスです
まとめ
今回の記事では、シャープが不正アクセスされ情報漏洩が起きた件についてまとめました。
今回の手口はWebサイト改ざんと呼ばれるものです。Webサイト改ざんについて詳しく知りたい方は、下記に解説記事がありますのでお読みください。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
