KFCやピザハットの運営会社がランサムウェアと集団訴訟で泣きっ面に蜂：Cybersecurity Dive

KFCやTaco Bell、Pizza Hutといった飲食店ブランドを運営するYum Brandsはランサムウェア被害によって、従業員の集団訴訟に直面している。

[David Jones，Cybersecurity Dive]

　ファストフード企業のYum Brandsは2023年5月8日の週、証券取引委員会に提出した書類で、同年1月に発生したランサムウェア被害に関連して、米国の連邦裁判所および州の裁判所で集団訴訟の手続きに直面していると述べた（注1）。

　同社によると、この攻撃に関連し、2023年4月に現従業員と元従業員からプライバシー侵害を主張する複数の集団訴訟が提起されたという。

　本社がある米国ケンタッキー州ルイビルに拠点を置くこのファストフード運営会社はKFCやTaco Bell、Pizza HutおよびHabit Burger Grillといったブランドで、子会社を含めて米国で2万3000人以上の従業員を擁し、全世界で5万5000以上のレストランを直営またはフランチャイズで展開している。同企業はランサムウェア攻撃によって、2023年1月に英国の約300店舗を1日間閉鎖せざるを得なかった（注2）。

現従業員と元従業員による集団訴訟はなぜ起きたのか？

　Yum Brandsの広報担当者は「私たちの分析と調査の過程で、2023年1月のサイバーセキュリティインシデントによって主に米国の従業員に関する一部の個人情報の漏えいが確認された」と述べた。

　米国カリフォルニア州の規制当局に提出された消費者向けの開示文書のコピーによると（注3）、ランサムウェア攻撃は2023年1月13日に実行された。同社は直ちにシステムをロックダウンし、連邦法執行機関に通知し、電子記録の解析および事後対応の専門家を招いて攻撃に関する調査を実施した。

　2023年4月中旬にルイビルの連邦地方裁判所に提起された集団訴訟によると、Yum BrandsのフランチャイジーであるCharter Brandsの従業員に対して、ランサムウェア侵害によって名前や住所、生年月日および社会保障番号が漏えいした恐れがある旨の手紙が送られた。開示文書によると、盗まれた個人情報が不正行為に使用された形跡はないという。

　米国証券取引委員会への提出書類によると、Yum Brandsはランサムウェア攻撃への対応、是正措置および調査に関する費用を負担したとのことだ。同社はこの攻撃が最終的に自社のビジネスに重大な悪影響を及ぼすとは考えていない。

　広報担当者によると、同社は通知作業をほぼ完了しており、無料の監視および保護サービスを提供している。また、顧客データが影響を受けた形跡はないという。

（注1）UNITED STATES SECURITIES AND EXCHANGE COMMISSION（Washington, D. C.）
（注2）Ransomware attack against Yum! Brands follows several incidents targeting restaurant industry（Cybersecurity Dive）
（注3）P.O. Box 989728 West Sacramento, CA 95798-9728（Yum）

原文へのリンク