画像：森永製菓株式会社より引用

森永製菓株式会社は2022年3月22日、同社が運用している複数のサーバーが外部からの不正アクセスを受け、同社運営のウェブサイト「森永ダイレクトストア（旧：天使の健康）」の顧客164万8,922人分の個人情報（氏名や住所、連絡先など）が流出した可能性があると明らかにしました。

森永によれば、2022年3月13日に複数のサーバーから異常が検出され調査したところ、第三者による不正アクセスの形跡が認められたとのこと。攻撃を受けた原因はネットワーク機器に内在していた脆弱性で、同社は攻撃者がこれを利用して侵入した形跡があるとしています。

不正アクセスを受けたサーバーでは、データがロックされるなどの被害が生じています。対象サーバーは複数確認されていますが、このうち一部のサーバーでは通信販売事業「森永ダイレクトストア（旧：天使の健康）」を過去利用したユーザーのデータが含まれていた事実が判明。同社はこのため、対象者らの情報が外部に流出する可能性も否定できないとして注意を呼び掛けています。

不正利用発生の可能性も

森永製菓株式会社によると、同社は不正アクセス発覚後、該当サーバーをネットワークから切り離し、警察に通報するなどの対応策を講じました。

現在は外部調査機関と協力し、被害状況や原因等、復旧の検討などを含めたさらなる調査を進めているとのこと。データがロックされるなどの被害からランサムウェアの懸念も生じています。

なお、記事公開時点で流出情報を悪用したとみられる事案は確認されていません。しかし、今後流出情報を利用した形での不正行為が発生する可能性もあると見て、事実の公表に踏み切ったとしています。

参照不正アクセス発生による個人情報流出の可能性のお知らせとお詫び/森永製菓株式会社