シャープ公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセス 最大約10万人の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

シャープ公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセス 最大約7.5万人の個人情報漏洩の可能性

2024年7月29日 シャープが公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセスにより最大約10万人の個人情報漏洩の可能性を報告しました。

2024年10月30日追記:シャープが「COCORO STORE」と「ヘルシオデリ」の不正アクセスについての調査報告書を発表

不正アクセスの経緯

・7月22日午前10時52分、「COCORO STORE」への不正アクセスによる改ざんが判明。
調査を進めるなかで、7月19日午前4時19分から7月22日午前10時52分にかけて、「COCORO STORE」のウェブサイト上にアクセスされたお客様を、悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたことが判明。

同時に当該スクリプトは、即時削除。

・「COCORO STORE」および、「ヘルシオデリ」のウェブサイトを、7月22日午前11時33分に一時停止しました。

*現在も継続して一時停止中です。

・7月23日、さらなる調査を進めるなかで、7月11日の時点で「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあったこと、および「COCORO STORE」または「ヘルシオデリ」を利用した一部の顧客の個人情報が、同日に流出していたことが、新たに判明。

不正アクセスの原因

「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因

漏洩した可能性のある個人情報

2024年7月19日(金)午前4時19分~7月22日(月)午前10時52分の間に「COCORO STORE」にアクセスされた顧客の内、ログインもしくは商品の注文を行っていない呼格(推定約75,000人)で

悪意のあるサイトへ誘導され、強制的にウイルスをインストールされている可能性を完全に否定することが困難な状況。

悪意のあるサイトへ誘導され、強制的にウイルスをインストールされていた場合、個人情報流出の可能性が否定できないお客様

お客様 個人情報 人 数
2024年7月19日(金)午前4時19分~7月22日(月)午前10時52分の間に「COCORO STORE」でログインもしくは商品をご注文されたお客様  住所、氏名、電話番号、メールアドレス、パスワード、生年月日、性別、新規登録のクレジットカード情報 26,654人

個人情報が流出したお客様 合計203人

お客様 個人情報 人 数
①2024年6月30日に「COCORO STORE」でご注文されたお客様の一部 氏名、郵便番号、住所、電話番号、メールアドレス等の注文情報*クレジットカード情報は含まれておりません。 100人
②2024年6月23日~6月30日の期間に「ヘルシオデリ」でご注文されたお客様の一部 100人
③上記①、②のご注文において、お客様のご登録住所と配送先住所が異なるご注文をされたお客様 配送先に指定された氏名、郵便番号、住所、電話番号 3人

※  注文情報は、以下の情報を含みます。該当する項目は、お客様により異なります。
購入日時、メールアドレス、ニックネーム、会員氏名、生年月日、注文者および配送先氏名、注文者および配送先郵便番号、注文者および配送先住所、注文者および配送先電話番号、注文商品、注文個数、注文金額

 

引用

シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」における不正アクセスによる個人情報流出についてのお詫びとお願い