森永製菓は3月22日、不正アクセスにより、ECサイトの個人情報が流出した可能性があると発表した。対象となった個人情報にはクレジットカード情報は含まれないとしている。森永製菓によると、「商品の発送に使用していた情報にロックがかけられていた」としており、情報を人質に身代金を要求する「ランサムウェア」の被害の可能性もある。
森永製菓によると、第三者による不正アクセスの痕跡が3月13日に発見されたという。初期調査の段階では、森永製菓の複数のサーバに不正な侵入があったことと、内部の一部データがロックされていたことを確認したという。顧客の個人情報が外部に持ち出された痕跡は確認できないものの、流出の可能性を完全に否定できないことから、発表に至ったとしている。
森永製菓では「商品の発送に使っていた情報がロックされ、暗号化されていた。犯人と思われる人物から連絡もあったが、森永製菓としては連絡に対して返答はしていない」(広報)としている。いつ頃どのような連絡があったかについては、明らかにしていない。森永製菓がランサムウェアの被害にあったかどうかも、明らかにしていない。
ランサムウェアの被害に詳しいWasabi Technologies(ワサビテクノロジーズ)のデビッド・フレンドCEOによると、不正アクセスによって企業の情報にロックをかけ、ロックの解除と引き換えに身代金を要求する、ランサムウェアの被害が、2021年は、前年比で20%程度増加したという。
ランサムウェアの被害は、身代金の要求にとどまらないようだ。必要なデータを活用できず、サービスを停止せざるを得ない「ダウンタイム」が発生することも、企業にとって大きな被害になるという。
ランサムウェアに対する企業の対策としては、企業のシステムやサーバの脆弱性について定期的に管理し、データを効率的にバックアップしておく必要があるという。
