日産自動車株式会社は、同社の販売店向け顧客管理システムの開発に使用されていたRed Hat管理のサーバーへの不正アクセスを受け、日産福岡販売株式会社の顧客約21,000人に影響する重大なデータ侵害を公表しました。
日産から顧客管理インフラの開発を受託しているソフトウェア企業Red Hatは、2025年9月26日にこの不正アクセスを検知しました。
この侵害により、旧福岡日産自動車の販売店で車両を購入した、またはサービスを受けた顧客の個人情報が漏えいしました。
検知後、Red Hatは直ちに不正アクセスを排除し、今後の侵入を防止するための対策を実施しました。
日産は2025年10月3日に本件の正式な通知を受け、速やかに日本の個人情報保護委員会へ漏えいを報告しました。同社はその後、影響を受けた顧客への直接連絡を開始しています。
限定的なデータ漏えい
流出したデータには、顧客の氏名、住所、電話番号、メールアドレスの一部、ならびに販売活動に用いられる情報が含まれていました。
特筆すべき点として、クレジットカード情報やその他の機微な金融情報は本件で漏えいしていません。
日産は、Red Hatのサーバーにはアクセスされた情報以外の追加の顧客情報は保存されていなかったことを確認しており、さらなるデータ漏えいに関する懸念は解消されたとしています。
公表時点では、漏えいした個人情報が二次利用されたり、犯罪行為に用いられたりした証拠は確認されていません。
ただし日産は、フィッシングの電話や詐欺的な連絡を含む不審なコミュニケーションに対して、顧客に警戒を呼びかけました。
本件は、第三者サプライチェーンおよび委託先が管理するインフラにおける脆弱性が依然として存在することを浮き彫りにしています。
日産は、この情報漏えいが重大なセキュリティ上の不備であることを認め、再委託先の監視強化と全体的な情報セキュリティ手順の改善に取り組むと表明しました。
本件は、機微な顧客データ管理を外部ベンダーに委託することに伴う重大なリスクを示しており、自動車業界全体に共通する継続的な課題です。
第三者の開発者に依存する企業は、同様の事案を防ぐため、厳格なセキュリティ監督体制を実装する必要があります。
日産は、不正なデータアクセスにより生じた不便と不安について影響を受けた顧客に謝罪し、調査に関して規制当局との協力を継続しています。
翻訳元: https://gbhackers.com/nissan-discloses-data-breach/
