目次

  1. 個人情報やクレカ情報が流出した可能性のある利用者
  2. 個人情報やクレカ情報が流出した原因
  3. シャープの対応
  4. ペイメントアプリケーションの改ざんによる被害相次ぐ

 シャープの公式サイトによると、個人情報が流出した可能性のある利用者は、以下の合計5836人です。

利用者 個人情報 人数
2024年6月30日に「COCORO STORE」と6月23日~30日に「ヘルシオデリ」で注文した利用者の一部と、注文時に登録住所と配送先住所が異なる注文をした利用者 氏名、郵便番号、住所、電話番号、 メールアドレス等の注文情報(クレジットカード情報は含まない) 203人
2024年7月19日4時19分~22日10時50分「COCORO STORE」の購入画面で、クレジットカード情報を含む個人情報を入力し、かつ注文を確定した利用者 カード名義人名、クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号、メールアドレス、パスワード 4257人
2024年7月19日4時19分~22日10時50分に「COCORO STORE」の購入画面で、個人情報(カード情報以外)を入力し、かつ注文を確定した利用者 住所、氏名、電話番号、メールアドレス、パスワード(クレジットカード情報は含まない) 1376人

 個人情報流出の原因は、2024年7月19日4時19分~22日10時50分、第三者が「COCORO STORE」のウェブサイトの脆弱性を利用して改ざんし、クレジットカード情報や個人情報を入力し、かつ注文を確定した場合に、情報を窃取できるプログラムが埋め込んでいたことにあります。

 「COCORO STORE」でクレジットカード情報や個人情報を入力し、かつ注文を確定した場合、その情報が外部へ不正に転送された可能性があるといいます。

 この改ざんは不正なスクリプトが埋め込まれている条件の下で動作するため「COCORO STORE」以外のサイトで入力した情報、もしくは7月22日以降に「COCORO STORE」や他のサイトで入力した情報に、流出の可能性はないと説明しています。

 シャープは利用者や関係者に対し、不正アクセスが明らかになった後、サイトを停止し、個人情報が流出した利用者らに対して、電子メールによる連絡を始めています。

 利用者に向けては「クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合、たいへんお手数でございますが、同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、あわせてお願い申し上げます」と呼び掛けています。

 利用者がクレジットカードの差し替えを希望する場合、カード再発行の手数料がかからないよう調整したといいます。

 そのうえで、脆弱性の早期発見および早期対策の実施体制を強化し、脆弱性があった場合においても、侵入検知システムの追加等、多層のセキュリティ対策を含めた監視体制を強化しました。

 こうしたカード情報入力フォームを改ざんして、クレジットカード情報を盗む手口は「ペイメントアプリケーションの改ざん」と呼ばれ、企業規模を問わず、被害が相次いでいます。

 10年以上前からある手口ですが、最近でも、タリーズコーヒージャパンが5万2958件のクレジットカード番号やセキュリティコードなどが漏洩した可能性があると発表。カレルチャペック紅茶店公式通販サイトでも、2020年4月26日以降、10万3289件の個人情報と5万8407件のクレジットカード情報が漏洩した可能性があることが明らかになりました。