シャープのCOCORO STOREとヘルシオデリで発生した不正アクセス、個人情報流出は5,836人と確定

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

シャープが不正アクセスによる個人情報流出の調査結果を発表
個人情報流出の可能性がある顧客は5,836人と判明
クレジットカード情報を含む個人情報流出は4,257人に影響

シャープのCOCORO STOREとヘルシオデリにおける不正アクセス調査結果の詳細

シャープは2024年10月30日、公式オンラインストア「COCORO STORE」と食材宅配サービス「ヘルシオデリ」における不正アクセスの調査結果を発表した。外部専門機関による詳細な調査の結果、個人情報流出の可能性がある顧客は当初発表の最大約10万人から5,836人に絞り込まれ、その中でもクレジットカード情報を含む個人情報が流出した可能性があるのは4,257人であることが明らかになった。^[1]

不正アクセスは2024年7月19日4時19分から7月22日10時50分までの期間に発生し、「COCORO STORE」のウェブサイトが改ざんされていたことが判明した。この期間中にクレジットカード情報やその他の個人情報を入力し注文を確定した場合、これらの情報が第三者に窃取されるプログラムが埋め込まれていたことが確認された。

シャープはすでに脆弱性に対する攻撃を排除し、ソフトウェアアップデートを実施済みとしている。対象となる顧客には個別に連絡を行い、クレジットカードの再発行手数料についても顧客負担が発生しないよう対応を進めている。

不正アクセスによる個人情報流出の影響まとめ

対象グループ	件数	流出情報	影響期間
クレジットカード情報含む流出	4,257人	カード情報、個人情報全般	7/19-7/22
個人情報のみ流出	1,376人	住所、氏名、電話番号等	7/19-7/22
注文情報流出	203人	注文関連の個人情報	6/23-6/30

不正アクセスによるウェブサイト改ざんについて

不正アクセスによるウェブサイト改ざんとは、攻撃者がウェブサイトの脆弱性を悪用して不正なプログラムを埋め込み、サイト訪問者の情報を窃取する攻撃手法のことである。主な特徴として、以下のような点が挙げられる。

正規のウェブサイトに悪意のあるコードを挿入
ユーザーが入力した情報を外部に送信
通常の利用では気付きにくい特徴がある

今回のCOCORO STOREへの攻撃では、ウェブサイトの改ざんにより決済画面に不正なスクリプトが埋め込まれ、クレジットカード情報を含む個人情報が外部に送信される仕組みが構築されていた。改ざんはウェブサイトで入力されたクレジットカード情報を取得するよう設計されており、期間中の決済情報に大きな影響を与えた可能性が高い。

COCORO STOREの不正アクセス事案に関する考察

シャープの対応における肯定的な点は、不正アクセスの検知後すぐにサービスを停止し、外部専門機関による徹底的な調査を実施したことである。影響を受けた可能性のある顧客数を当初の約10万人から5,836人まで絞り込んだことで、より正確な被害状況の把握と効果的な対策の実施が可能になったと評価できる。

一方で今後の課題として、ウェブサイトの脆弱性管理体制の強化が必要不可欠である。定期的なセキュリティ診断の実施や、脆弱性情報の収集・分析体制の確立など、予防的なセキュリティ対策の充実が求められるだろう。

再発防止に向けては、多層的なセキュリティ対策の実装が重要になってくる。侵入検知システムの導入や監視体制の強化に加え、決済システムの分離やトークン化など、クレジットカード情報を直接扱わない仕組みの導入も検討に値するだろう。

参考サイト

^ SHARP. 「シャープ公式オンラインストア｢COCORO STORE｣・食材宅配サービス｢ヘルシオデリ｣における不正アクセスによる個人情報流出に関するお詫びと調査結果のお知らせ｜お知らせ｜会社情報：シャープ」. https://corporate.jp.sharp/info/notices/241030-a.html, (参照 24-10-31).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。