シャープは2024年10月30日、公式オンラインストア「COCORO STORE」と食材宅配サービス「ヘルシオデリ」に不正アクセスがあり、5836人の利用者の個人情報が流出し、このうち4257人はクレジットカード情報も流出した可能性があると公表しました。原因は、脆弱性を悪用した第三者によるウェブサイトの改ざんだといいます。こうしたクレジットカード情報の抜き取りは企業規模を問わず、ECサイトで相次いでいます。
シャープの公式サイトによると、個人情報が流出した可能性のある利用者は、以下の合計5836人です。
| 利用者 | 個人情報 | 人数 |
|---|---|---|
| 2024年6月30日に「COCORO STORE」と6月23日~30日に「ヘルシオデリ」で注文した利用者の一部と、注文時に登録住所と配送先住所が異なる注文をした利用者 | 氏名、郵便番号、住所、電話番号、 メールアドレス等の注文情報(クレジットカード情報は含まない) | 203人 |
| 2024年7月19日4時19分~22日10時50分「COCORO STORE」の購入画面で、クレジットカード情報を含む個人情報を入力し、かつ注文を確定した利用者 | カード名義人名、クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号、メールアドレス、パスワード | 4257人 |
| 2024年7月19日4時19分~22日10時50分に「COCORO STORE」の購入画面で、個人情報(カード情報以外)を入力し、かつ注文を確定した利用者 | 住所、氏名、電話番号、メールアドレス、パスワード(クレジットカード情報は含まない) | 1376人 |
個人情報流出の原因は、2024年7月19日4時19分~22日10時50分、第三者が「COCORO STORE」のウェブサイトの脆弱性を利用して改ざんし、クレジットカード情報や個人情報を入力し、かつ注文を確定した場合に、情報を窃取できるプログラムが埋め込んでいたことにあります。
「COCORO STORE」でクレジットカード情報や個人情報を入力し、かつ注文を確定した場合、その情報が外部へ不正に転送された可能性があるといいます。
この改ざんは不正なスクリプトが埋め込まれている条件の下で動作するため「COCORO STORE」以外のサイトで入力した情報、もしくは7月22日以降に「COCORO STORE」や他のサイトで入力した情報に、流出の可能性はないと説明しています。
シャープは利用者や関係者に対し、不正アクセスが明らかになった後、サイトを停止し、個人情報が流出した利用者らに対して、電子メールによる連絡を始めています。
利用者に向けては「クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合、たいへんお手数でございますが、同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、あわせてお願い申し上げます」と呼び掛けています。
利用者がクレジットカードの差し替えを希望する場合、カード再発行の手数料がかからないよう調整したといいます。
そのうえで、脆弱性の早期発見および早期対策の実施体制を強化し、脆弱性があった場合においても、侵入検知システムの追加等、多層のセキュリティ対策を含めた監視体制を強化しました。
こうしたカード情報入力フォームを改ざんして、クレジットカード情報を盗む手口は「ペイメントアプリケーションの改ざん」と呼ばれ、企業規模を問わず、被害が相次いでいます。
10年以上前からある手口ですが、最近でも、タリーズコーヒージャパンが5万2958件のクレジットカード番号やセキュリティコードなどが漏洩した可能性があると発表。カレルチャペック紅茶店公式通販サイトでも、2020年4月26日以降、10万3289件の個人情報と5万8407件のクレジットカード情報が漏洩した可能性があることが明らかになりました。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
