森永製菓は3月22日、同社が管理・運用する複数サーバーに対する不正アクセスにより、通信販売事業「森永ダイレクトストア(旧:天使の健康)」に登録された個人情報について、情報が流出した可能性があると発表した。
外部流出した可能性のある個人情報は、2018年5月1日以降~2022年3月13日の間に森永ダイレクトストア(旧:天使の健康)を利用した利用者164万8922人分。
対象となる情報は、氏名、住所、電話番号、生年月日、性別、メールアドレス、購入履歴。ただし、クレジットカード情報は含まれていないという。また、メールアドレスは一部ECショッピングモールを利用した3887人(約0.2%)になる。
個人情報が外部に持ち出された可能性について、外部専門機関による確認を進めたが、その痕跡は現在まで確認されていないという。
同社によると、3月13日深夜に管理・運用する複数のサーバーに障害が発生。その原因を調べたところ、第三者による不正アクセスの痕跡を発見したという。
この影響により、一部の社内システムにおいて障害が発生。さらなる拡大を防ぐため、直ちに外部ネットワークを遮断。また、3月14日には対策本部を立上げ、外部専門機関の協力のもと、不正アクセスを受けたサーバーの範囲と状況・原因などの調査、復旧の検討を開始した。個人情報保護委員会への報告と、所轄警察署への届け出は完了している。
初期調査段階では、複数サーバーへの不正な侵入と内部の一部データがロックされていることを確認。侵入されたサーバーには、商品発送に関する情報を保管するサーバーが含まれており、その情報がロックされていること、利用者の個人情報が含まれていることが判明している。
侵入経路については、インターネット回線に設置していたネットワーク機器の脆弱性を悪用され、侵入された可能性が高いとしている。
同社では、対象者に対して3月28日より順次、郵送にて連絡を行うという。また、専用窓口による対応を開始している。
森永製菓お客様相談センター(電話)CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス