森永ダイレクトストアの利用者約165万人、不正アクセスで個人情報流出の可能性

　森永製菓は3月22日、同社が管理・運用する複数サーバーに対する不正アクセスにより、通信販売事業「森永ダイレクトストア（旧：天使の健康）」に登録された個人情報について、情報が流出した可能性があると発表した。

　外部流出した可能性のある個人情報は、2018年5月1日以降～2022年3月13日の間に森永ダイレクトストア（旧：天使の健康）を利用した利用者164万8922人分。

　対象となる情報は、氏名、住所、電話番号、生年月日、性別、メールアドレス、購入履歴。ただし、クレジットカード情報は含まれていないという。また、メールアドレスは一部ECショッピングモールを利用した3887人（約0.2％）になる。

　個人情報が外部に持ち出された可能性について、外部専門機関による確認を進めたが、その痕跡は現在まで確認されていないという。

　同社によると、3月13日深夜に管理・運用する複数のサーバーに障害が発生。その原因を調べたところ、第三者による不正アクセスの痕跡を発見したという。

　この影響により、一部の社内システムにおいて障害が発生。さらなる拡大を防ぐため、直ちに外部ネットワークを遮断。また、3月14日には対策本部を立上げ、外部専門機関の協力のもと、不正アクセスを受けたサーバーの範囲と状況・原因などの調査、復旧の検討を開始した。個人情報保護委員会への報告と、所轄警察署への届け出は完了している。

　初期調査段階では、複数サーバーへの不正な侵入と内部の一部データがロックされていることを確認。侵入されたサーバーには、商品発送に関する情報を保管するサーバーが含まれており、その情報がロックされていること、利用者の個人情報が含まれていることが判明している。

　侵入経路については、インターネット回線に設置していたネットワーク機器の脆弱性を悪用され、侵入された可能性が高いとしている。

　同社では、対象者に対して3月28日より順次、郵送にて連絡を行うという。また、専用窓口による対応を開始している。