Nissan Discloses Data Breach Linked to Compromised Red Hat Infrastructure
2025/12/22 gbhackers — Nissan が公表したのは、福岡に所在する販売店の顧客約 21,000人に影響を及ぼす、深刻なデータ漏洩に関する情報である。このインシデントは、販売店の顧客管理システムの開発に使用されていた、Red Hat マネージド・サーバへの不正アクセスにより発生した。この不正アクセスは、2025年9月26日に Red Hat が検知し、その後の詳細な調査と対応を経て、今回の Nissan による公表に至った。
この不正アクセスにより、Nissan の旧福岡販売店で車両を購入し、サービスを受けている顧客の個人情報が漏洩した。この漏洩を検知した Red Hat は、直ちに不正アクセスを遮断し、再発防止策を実施した。
2025年10月3日に、このインシデントを正式に通知された Nissan は、速やかに個人情報保護委員会へ報告した。その後に、影響を受けた顧客への直接の連絡を開始した。
データ漏洩の規模は限定的
漏洩したデータには、顧客の氏名/住所/電話番号/メールアドレスの一部に加えて、営業活動に使用される情報が含まれていた。今回の侵害で押さえておくべき点は、クレジットカード情報などの極めて高機密の金融情報が、漏洩しなかったことである。
Red Hat のサーバにはアクセスされた情報以外の顧客データは保存されておらず、さらなるデータ漏洩の懸念は払拭されたと Nissan は確認している。また、この情報が開示された時点で、漏洩した個人情報が二次的目的や犯罪行為に使用された証拠は存在しない。
その一方で、Nissan が顧客に対して強く推奨するのは、フィッシング詐欺や不審メールなどの不審な通信に引き続き警戒すべきという点である。
今回のインシデントは、サードパーティのサプライチェーン/請負業者が管理するインフラに依然として潜在する脆弱性を明確に示すものであり、サプライチェーン・リスクの深刻さを浮き彫りにしている。
Nissan が認めたのは、この侵害が深刻なセキュリティ欠陥に起因することであり、下請け業者の監視強化と情報セキュリティ・プロトコル全体の強化に取り組む方針を示した。
今回の侵害が示すのは、機密性の高い顧客データ管理を、外部ベンダーへアウトソーシングすることに伴う重大リスクであり、自動車産業全体が抱える構造的課題である。
サードパーティ開発業者に依存する企業は、このようなインシデントを防止するために、より厳格なセキュリティ監視を実施する必要がある。
Nissan は、不正なデータ・アクセスにより生じた不便と懸念について影響を受けた顧客に謝罪し、引き続き規制当局の調査に協力すると述べた。
この問題の原因は、顧客管理システムの開発環境として利用していた外部ベンダーのサーバに対して、第三者による不正アクセスが行われたことにあります。具体的には、システムの開発で依存していた Red Hat のマネージド・サーバが、セキュリティ上の弱点を突かれる形で侵入を許してしまいました。その結果として、本来は厳重に保護されるべき顧客の個人情報が、外部から閲覧可能な状態となっていました。今回の事案は、自社のセキュリティ対策だけでなく、業務を委託している外部パートナーの管理体制が、情報漏洩のリスクに直結することを浮き彫りにしています。よろしければ、カテゴリー SupplyChain も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.