シャープ株式会社は7月23日、シャープ公式オンラインストア「COCORO STORE」への不正アクセスにについて発表した。
これは7月22日午前10時52分に、「COCORO STORE」への不正アクセスによる改ざんが判明したため調査を行ったところ、7月19日午前4時19分から7月22日午前10時52分にかけて当該サイトにアクセスした顧客を悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたというもの。
同社では当該スクリプトを削除し、さらなる調査を進めるなかで、7月11日時点で「COCORO STORE」と食材宅配サービス「ヘルシオデリ」に不正アクセスがあったこと、および「COCORO STORE」または「ヘルシオデリ」を利用した一部顧客の個人情報が流出していたことが、7月23日に判明した。
「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因で、同社では脆弱性に対して行われた攻撃は既に排除済みで、脆弱性に対するソフトウェアアップデートも実施している。
個人情報が流出したのは合計203人の顧客で内訳は下記の通り。
1.2024年6月30日に「COCORO STORE」で注文した顧客の一部:100人
氏名、郵便番号、住所、電話番号、メールアドレス等の注文情報
2.2024年6月23日~6月30日の期間に「ヘルシオデリ」で注文した顧客の一部:100人
氏名、郵便番号、住所、電話番号、メールアドレス等の注文情報
3.上記1.2.の注文で顧客の登録住所と配送先住所が異なるご注文をした顧客:3人
配送先に指定された氏名、郵便番号、住所、電話番号
また、悪意のあるサイトへ誘導され強制的にウイルスをインストールされていた場合、個人情報流出の可能性が否定できないのは、2024年7月19日午前4時19分から7月22日午前10時52分の間に「COCORO STORE」でログインもしくは商品を注文した顧客26,654人で、対象となる項目は住所、氏名、電話番号、メールアドレス、パスワード、生年月日、性別、新規登録のクレジットカード情報。
なお、2024年7月19日午前4時19分から7月22日午前10時52分の間に「COCORO STORE」にアクセスした顧客の内、ログインもしくは商品の注文を行っていない推定約75,000人の顧客についても、悪意のあるサイトへ誘導され、強制的にウイルスをインストールされている可能性を完全に否定することが困難な状況で、最新のウイルス対策ソフト等でウイルススキャンを行うよう呼びかけている。
同社では、個人情報の流出が確認された顧客および個人情報流出の可能性が否定できない顧客を対象に、7月29日からメール等で連絡を開始している。
同社では、システムおよびネットワーク経路のセキュリティ強化対策を実施し、再発防止に取り組むとのこと。