シャープは7月29日、同社の公式オンラインストア「COCORO STORE」と、食材宅配サービス「ヘルシオデリ」が不正アクセスを受け、203件の個人情報が流出したと発表した。さらに同サイトへアクセスした人を、悪意のあるサイトへ誘導する不正な改ざんも見つかり、個人情報流出の可能性を否定できないケースは約10万人以上にのぼる。
個人情報の流出は合計203人。流出したのは氏名と郵便番号、住所、電話番号、メールアドレスなどの注文情報で、COCORO STOREで100人、ヘルシオデリで100人流出を確認している。登録住所と配送住所が異なる注文をした3人については、配送先に指定された氏名、郵便番号、住所、電話番号も流出している。クレジットカード情報は流出していないという。
悪意のあるサイトへ誘導され、強制的にウイルスをインストールされていた場合、「個人情報流出の可能性が否定できない」という人は26,654人。7月19日4時19分~7月22日10時52分の間に「COCORO STORE」でログインもしくは商品を注文した人が対象で、こちらは住所、氏名、電話番号、メールアドレス、パスワード、生年月日、性別、新規登録のクレジットカード情報が含まれている。
さらに上記時間帯にCOCORO STOREへアクセスした人のうち、ログインもしくは商品の注文を行っていない人(推定75,000人)についても「強制的にウイルスをインストールしている可能性を完全に否定できない」とし、OS搭載の対策ソフトなどでスキャンを行うよう呼びかけている。
今回の問題の原因は、「COCORO STOREとヘルシオデリで採用しているソフトウェアの脆弱性の悪用」。同社では、脆弱性に対して行われた攻撃は既に排除しており、脆弱性に対するソフトウェアアップデートも実施済みだという。
COCORO STOREとヘルシオデリのWebサイトは、不正アクセス判明後にすぐ一時停止。個人情報が流出した人や、該当期間にCOCORO STOREのWebサイトへログインした人には、7月29日から電子メールで連絡している。
シャープは「流出した個人情報の不正利用などの二次被害は確認されていないが、個人情報保護委員会への報告や警察への届出をしており、引き続き調査を進める」とのこと。専用の問い合わせ窓口でユーザーへの対応も行う。詳細は同社Webサイトを参照のこと。
