日本の大手自動車メーカーの一社が、2万1000人の顧客に影響するサードパーティによるデータ侵害を明らかにした。
日産によると、この侵害は9月にRed Hatで発生した侵害に起因するという。
声明では、「日産自動車は、販売店向け顧客管理システムの開発を委託していたRed Hatから、同社のデータサーバーに不正アクセスがあり、データが漏えいしたとの報告を受けた」と説明した。
「その後、同社から漏えいしたデータには、日産福岡販売の一部顧客情報が含まれていることが確認された」
日産は10月3日にRed Hatから通知を受け、直ちに国内規制当局である個人情報保護委員会に報告したという。また、影響を受けた個々の顧客への連絡も進めている。
盗まれた情報には、氏名、住所、電話番号、メールアドレスの一部および「販売活動に使用するその他の顧客関連情報」が含まれるが、カード情報は含まれないと同社は確認した。
「現時点では、漏えいした情報が二次的な目的で使用されたことは確認されていません。しかし、身に覚えのない不審な電話や郵便物には十分ご注意ください」と付け加えた。
「さらに、Red Hatが使用するサーバーには今回漏えいしたデータ以外の顧客情報は保存されていないため、追加のデータ漏えいのリスクはありません」
日産のデータ侵害について詳しく読む:日産のデータ侵害で従業員5万3000人の社会保障番号が流出
標的となるRed Hat
「Crimson Collective」と名乗る恐喝グループは、Red Hatの非公開GitLabリポジトリへの攻撃を主張し、2万8000件の社内プロジェクトにまたがる約570GBのデータを盗んだという。これには、顧客ネットワークやプラットフォームを詳細に記した約800件のCustomer Engagement Reports(CER)が含まれていたと報じられている。
Red Hatのコンサルティング事業を狙い、脅威アクターはRed HatのコードやCERの中から認証トークン、完全なデータベースURIなどの機微情報を見つけ出し、それらを用いて顧客インフラにアクセスしたという。
同グループがTelegramに投稿した、2020年まで遡るとされる侵害されたCERの一覧には、バンク・オブ・アメリカ、T-Mobile、AT&T、Fidelity、Kaiser、Mayo Clinic、Walmart、Costco、米海軍のNaval Surface Warfare Center、連邦航空局、下院などの著名ブランドが含まれていた。
日産がデータ侵害の事件に巻き込まれたのは今回が初めてではない。2023年末のランサムウェア攻撃により、北米の従業員5万3000人超に影響する個人情報が侵害された。
同年、日産ノースアメリカは、サードパーティのサプライヤーによって顧客データが意図せず露出 した可能性があるとして、約1万8000人の顧客に通知せざるを得なかった。
画像クレジット:Wongsakorn 2468 / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/nissan-thousands-impacted-by-red/
