セキュリティ
自動車メーカーが「未知の」脆弱性を指摘する中、顧客への影響が拡大
日産が、Oracleへのサイバー攻撃を受けて後処理に追われるOracle顧客企業の仲間入りをしました。同社は従業員に対し、給与記録や銀行口座情報、社会保障番号などの個人情報が盗まれた可能性があると警告しています。
日産アメリカスは金曜日にカリフォルニア州司法長官に提出した届出の中で、Oracleから「数百社」の人事記録に関わる「サイバーインシデント」の通知を受けたと述べました。同社によると、その後、日産が今回の攻撃において「特定の標的とされた」ことが判明したとのことです。
現職・元従業員に送付された通知(The Registerが確認)によると、攻撃者が入手した可能性のある機密情報には、連絡先・銀行口座情報、社会保障番号・社会保険番号またはその他の国民識別番号、財務・税務記録、さらには扶養家族や受益者の情報が含まれています。
米国、カナダ、メキシコ、ブラジルの現職・元従業員が影響を受けた可能性がありますが、日産は現在も被害者の特定を進めている段階だとしています。
日産は、侵害を把握した時点でインシデント対応計画を発動し、外部のセキュリティ専門家を起用するとともに、Oracleと連携しながら法執行機関にも報告してきたと説明しています。また、影響を受けた個人には、利用可能な場合に限り、クレジット監視やダークウェブ監視サービスを提供する予定です。
さらに同社は、給与管理にかかる追加のセキュリティ対策も導入しました。従業員が給与明細を確認したり、口座振替の情報を変更したりする際には、社内ネットワークまたはセキュアなVPN経由でのアクセスが必要となりました。また、給与関連の申請を処理する前に、本人確認の手続きが強化されています。
従業員向けFAQでは、今回のインシデントの原因を「OracleのPeopleSoftソフトウェアに存在した未知の脆弱性」と説明しており、この攻撃キャンペーンは「数百の企業・機関」に影響を及ぼしているとしています。ただし、脆弱性の詳細、Oracleがパッチを適用済みかどうか、そして侵害されたPeopleSoft環境がOracleのホスティングによるものか日産自身が運用していたものかについては、一切明らかにされていません。
この開示は、研究者らがShinyHuntersと呼ばれる恐喝グループによるPeopleSoftのゼロデイ脆弱性を悪用した一連の攻撃を報告してから数週間後に公表されました。報告によると、Oracleが緩和措置を講じる前に100以上の組織・約300のPeopleSoftインスタンスが侵害されており、同グループはHR・給与関連データをはじめとする企業データを窃取したと主張しています。
Oracleは、報告されている攻撃について公式にはほとんど言及しておらず、各組織が被害を相次いで公表している中でも、The Registerの取材には応じていません。
日産は両インシデントの関連性を確認していませんが、カリフォルニア州への届出では侵害期間を2026年5月27日から6月9日と記載しており、これは既報のタイムラインとおおむね一致しています。
影響を受けた現職・元従業員の人数、Oracleから最初に侵害の通知を受けた時期、そして侵害がOracle管理のシステムに限定されていたかどうかについて、同社は取材に回答しませんでした。®
