シャープ、公式EC「COCORO STORE｣で不正アクセス　203件の個人情報流出

シャープは29日、公式オンラインストア｢COCORO STORE｣と、食材宅配サービス｢ヘルシオデリ｣において、不正アクセスによる個人情報流出があったと発表した。また、COCORO STOREのWebサイトへアクセスした人を、悪意のあるサイトへ誘導する不正な改ざんがなされていたことも判明したという。

「COCORO STORE」と「ヘルシオデリ」のWebサイトは、不正アクセス判明後、すぐに一時停止ししたが、個人情報が流出した人や、該当期間にCOCORO STOREのWebサイトへログインした人には、29日から電子メールで連絡している。

7月22日10時52分に「COCORO STORE」への不正アクセスによる改ざんが判明。調査を進めるなかで、7月19日 4時19分から7月22日10時52分にかけて、COCORO STOREのWebサイト上にアクセスした人を、悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたことが判明。当該スクリプトは、即時削除し、両サイトは7月22日11時33分に一時停止。現在も継続して停止中となっている。

その後、調査を進める中で、7月11日時点で「COCORO STORE」と「ヘルシオデリ」へ不正アクセスがあったことと、両サービスを利用した一部の人の個人情報が流出していたことが判明したという。

個人情報の流出は合計203人で、流出情報は、氏名、郵便番号、住所、電話番号、メールアドレス等の注文情報。登録住所と配送住所が異なる場合は、配送先に指定された氏名、郵便番号、住所、電話番号も流出している(3名)。クレジットカード情報は流出していない。

また、悪意のあるサイトへ誘導され、強制的にウィルスをインストールされていた場合、「個人情報流出の可能性が否定できない」という人が26,654人となる。このケースは、7月19日4時19分～7月22日10時52分の間に「COCORO STORE」でログインもしくは商品を注文した場合で、ログインしていない人(推定75,000人)も「強制的にウィルスをインストールしている可能性を完全には否定できない」とし、OS搭載のウィルス対策ソフトなどでスキャンを行なうよう呼びかけている。

原因は、「COCORO STORE」と「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたため。脆弱性に対して行なわれた攻撃は既に排除しており、脆弱性に対するソフトウェアアップデートも実施済としている。

シャープでは、個人情報の流出が確認された人や、個人情報流出の可能性が否定できない人を対象に、電子メールなどを通じて連絡を開始している。また専用の問い合わせ窓口も設置し、対応する。