シャープ、｢COCORO STORE｣｢ヘルシオデリ｣への不正アクセスによるユーザーの個人情報流出を発表

　シャープ株式会社は7月29日、同社の公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」への第三者による不正アクセスにより、一部ユーザーの個人情報が流出したと発表した。また、COCORO STOREにおいて、アクセスしたユーザーを悪意のあるサイトへ誘導する不正な改ざんが判明したことも発表した。

　7月22日10時52分、COCORO STOREへの不正アクセスによる改ざんが判明。これに関して調査を進めるなかで、7月19日4時19分～22日10時52分に、COCORO STOTEのサイト上に、ユーザーを悪意あるサイトへ誘導する不正なスクリプトが埋め込まれていたことが判明し、これを削除した。このことに伴い、COCORO STOTEおよびヘルシオデリを22日11時33分に一時停止し、発表時点でも一時停止中となっている。

　さらに調査を進める中で、7月11日の時点でCOCORO STOREとヘルシオデリへ不正アクセスがあり、両サイトを利用した一部のユーザーの個人情報が、同日中に流出していたことが判明した。

　原因は、両サイトで採用しているソフトウェアの脆弱性の悪用だという。なお、当該の脆弱性に対する攻撃は排除し、脆弱性に対するソフトウェアアップデートを実施している。

　個人情報が流出したユーザーは、合計203人。2024年6月30日にCOCORO STOREで注文したユーザーの一部と、2024年6月23日～6月30日にヘルシオデリで注文したユーザーの一部の、それぞれの氏名、郵便番号、住所、電話番号、メールアドレスなどの注文情報が流出したとされている。なおクレジットカード情報は含まれていない。

　また、上記期間における注文で、登録住所と配送先住所が異なる注文をした場合には、配送先に指定した氏名、郵便番号、住所、電話番号も流出しているという。

　このほかに、悪意のあるサイトへ誘導され、強制的にウイルスをインストールされていた場合、個人情報の流出が否定できないユーザーが2万6654人いるという。その場合に流出した可能性のある個人情報は、住所、使命、電話番号、メールアドレス、パスワード、生年月日、性別のほか、新規登録のクレジットカード情報も含まれる。

　同社では、個人情報の流出が確認されたユーザー、および、流出の可能性を否定できないユーザーに、個別に連絡を行っている。また、問い合わせ窓口も開設している。

　あわせて、身に覚えのないメールは開封せず削除するように、とするとともに、不正なスクリプトが埋め込まれていたことが判明した7月19日4時19分～22日10時52分にCOCORO STOTEまたはヘルシオデリにアクセスしたユーザーに対しては、端末のウイルススキャンとパスワードの変更を行うよう呼び掛けている。