2024年7月29日に公表いたしました、シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」における不正アクセスに関しまして、2024年7月22日に「COCORO STORE」への不正アクセスによる改ざん事象を検知し、同日、「COCORO STORE」・「ヘルシオデリ」のサービスの提供を停止のうえ、カード決済を停止しておりました。サービスの提供の停止以降、影響範囲および原因の特定に向け、外部専門機関により詳細を調査してまいりました。
2024年10月16日、調査機関による調査が完了し、不正アクセスの詳細が明らかになり、個人情報流出の可能性があるお客様は、2024年7月29日に公表しました影響を受けた可能性のある最大約10万人のお客様の内、5,836人のお客様であることがわかりました。その内、4,257人のお客様につきましてはクレジットカード情報を含む個人情報が流出した可能性がございます。以上の事実が確認できたため、本日の発表に至りました。
お客様や関係者の皆様に、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
調査結果をふまえまして、対象のお客様には、本日より電子メールおよび書状にてあらためて個別にご連絡申し上げております。
1. 不正アクセスに関する外部専門機関による調査内容と調査結果について
(1)調査内容
外部専門機関(フォレンジック機関(PFI))により、国際的なセキュリティ基準(PCI DSS)において、当社のデジタルデータを扱うPCやサーバ、ネットワーク機器等に蓄積されたログ・状態を調査し、発生事象の割り出し、不正アクセスの影響範囲および証拠となるデータの特定を行いました。
(2)調査により判明した事実
2024年7月29日に公表しましたとおり、「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因であることが確認されました。
脆弱性を悪用され、一部の注文情報*が第三者により取得され、203人の個人情報(クレジットカード情報は含まれておりません)が流出したこと(2024年7月29日公表の通り)が、本調査によりあらためて確認されました。
加えて、2024年7月19日4時19分~2024年7月22日10時50分**の期間に、第三者により「COCORO STORE」のウェブサイトが改ざんされ、クレジットカード情報やその他の個人情報を入力し、かつ注文を確定した場合に、これらの情報が第三者に窃取されるプログラムが埋め込まれていたことが判明しました。その結果、当該期間に、「COCORO STORE」においてクレジットカード情報や個人情報を入力し、かつ注文を確定した場合、その情報が外部へ不正に転送された可能性があることが判明しました。
なお、今回の改ざんは不正なスクリプトが埋め込まれている条件の下で動作するものであり、当該期間中に「COCORO STORE」以外のサイトで入力した情報、もしくは当該期間以降に「COCORO STORE」や他のサイトで入力する情報については、流出の可能性はございません。
脆弱性に対して行われた攻撃はすでに排除しており、脆弱性に対するソフトウェアアップデートも実施済です。
* 2024年6月30日の「COCORO STORE」および2024年6月23日~6月30日の「ヘルシオデリ」における一部の注文情報です。
**日時は「JST 日本標準時 UTC+0900」で記載しております。
(3)対象となるお客様、個人情報、人数について
①個人情報が流出したお客様 合計203人[2024年7月29日公表]
お客様 | 個人情報 | 人 数 |
2024年6月30日に「COCORO STORE」、2024年6月23日~30日に「ヘルシオデリ」でご注文されたお客様の一部および、これらのご注文において、お客様のご登録住所と配送先住所が異なるご注文をされたお客様 | 氏名、郵便番号、住所、電話番号、 メールアドレス等の注文情報 ・クレジットカード情報は含まれておりません。 | 203人 |
②クレジットカード情報流出の可能性があるお客様 [今回の調査で確認]
お客様 | 個人情報 | 人 数 |
2024年7月19日4時19分~2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、クレジットカード情報を含む個人情報を入力し、かつ注文を確定されたお客様 | カード名義人名、クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号、メールアドレス、パスワード | 4,257人 |
③個人情報流出の可能性があるお客様 [今回の調査で確認]
お客様 | 個人情報 | 人 数 |
2024年7月19日4時19分~2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、個人情報(クレジットカード情報を除く)を入力し、かつ注文を確定されたお客様 | 住所、氏名、電話番号、メールアドレス、パスワード ・クレジットカード情報は含まれておりません。 | 1,376人 |
上記に該当する5,836人のお客様については、別途、本日より電子メールおよび書状にてあらためて個別にご連絡申し上げております。
2. お客様へのお願い
すでに当社では、クレジットカード会社と連携のうえ、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合、たいへんお手数でございますが、同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、あわせてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、当社よりクレジットカード会社に依頼しております。
3. 再発防止策ならびに当社が運営するサイトの再開について
当社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止に努めてまいります。
(1)システムのセキュリティ対策
今回の直接の原因であった脆弱性について、脆弱性の早期発見および早期対策の実施体制を強化しました。
(2)監視体制の強化
脆弱性があった場合においても、侵入検知システムの追加等、多層のセキュリティ対策を含めた監視体制を強化しました。また、セキュリティに関するルールの見直し、定期的な自己診断内容の強化等も併せて実施しております。
また、当社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月26日に報告済みであり、また、所轄警察である大阪府警察本部にも2024年7月26日届出しており、今後調査にも全面的に協力してまいります。
なお、シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」は、準備が整い次第、再開予定です。再開が決定次第、改めてWebサイトでお知らせいたします。ご不便をおかけし申し訳ございませんが、今しばらくお待ちくださいますようお願い申し上げます。
【2024年7月29日リリース分】
【2024年7月23日リリース分】