日産自動車は、攻撃者がOracleのPeopleSoftソフトウェアのゼロデイ脆弱性を悪用した結果、現・元従業員の社会保障番号、銀行口座情報、税務記録などの機密個人データが窃取された可能性があると公表しました。
同社は6月26日に公開した侵害通知の中で、Oracleから数百社に影響するサイバーインシデントについて警告を受け、日産が特定の標的とされたと述べています。
今回の侵害は米国、カナダ、メキシコ、ブラジルの現・元従業員に影響したと見られており、国民識別番号や扶養家族・受益者情報なども流出した可能性があります。
PeopleSoftを狙った大規模キャンペーンの巻き添えに
日産は侵入口について、給与計算および人事管理に使用しているエンタープライズソフトウェア「Oracle PeopleSoft」の未知の脆弱性だったとのみ説明しています。
この脆弱性はCVE-2026-35273として追跡されており、攻撃者がゼロデイとして悪用した深刻なリモートコード実行バグです。この広範なキャンペーンはShinyHuntersという恐喝グループと関連付けられており、同グループは主に大学を中心とした100以上の組織を攻撃したと主張しています。
Oracleが帯域外の勧告と緩和策を発行したのは、攻撃が始まってからのことでした。日産の申告によると、侵害は5月27日から6月9日の間に発生しており、これはキャンペーンが実施された期間と一致します。これまでに名前が挙がった被害者のほとんどは大学であり、日産はこのキャンペーンに巻き込まれた企業としては比較的知名度の高い存在となっています。
ShinyHuntersのキャンペーンについて詳しく読む:ShinyHunters、新たなSalesforceキャンペーンで数百のウェブサイトを標的に
流出した機密データと給与システムへのアクセス制限
日産によると、社会保障番号や国民識別番号のほか、連絡先・銀行口座情報、財務・税務データ、扶養家族・受益者の記録なども流出した可能性があります。同社はすでにシステムのセキュリティを確保し、Oracleと連携して対応にあたっているとし、対象となった従業員に対しては利用可能な地域でクレジットモニタリングまたはダークウェブモニタリングを無償提供すると発表しました。
予防措置として、日産は給与システムへのアクセスを制限し、給与明細の確認や口座振込先の変更には社内ネットワークへの接続またはセキュアなVPNの使用を義務付けました。また、給与関連の申請処理前に追加の本人確認を導入しています。従業員に対してはフィッシングへの警戒、使い回しているパスワードの変更、多要素認証(MFA)の有効化を促しています。
データセキュリティ企業Certesの最高技術責任者(CTO)、サイモン・パンプリン氏は今回の事件を「数百もの無関係な組織にわたる大規模な被害イベント」と表現し、脆弱性にパッチを当てても悪用された期間中にすでに取得されたデータには何の効果もないと警告しています。
日産は調査が継続中であるとし、影響を受けた個人には直接連絡すると述べています。
画像クレジット:Luthfi Syahwal / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/nissan-oracle-peoplesoft-zero-day/
