2025年12月、日本の大手自動車メーカーである日産自動車は、同社の顧客情報が外部に流出したことを確認しました。この事態は、日産が顧客管理システムの開発を委託していた米国を拠点とするエンタープライズソフトウェア企業、レッドハット社におけるセキュリティ侵害に端を発しています。レッドハットのデータサーバーへの不正アクセスにより情報が漏洩し、その中に日産福岡販売の顧客情報が含まれていたことが判明しました。
このインシデントは、サプライチェーンを介したサイバー攻撃が企業に与える影響の深刻さを改めて浮き彫りにしています。日産は、年間320万台以上の自動車を生産し、日本、北米、ヨーロッパ、アジアに強力なプレゼンスを持つグローバル企業であり、その顧客情報の流出は広範な懸念を呼び起こしています。今回の事態は、単一企業のセキュリティ対策だけでなく、サプライヤー全体のセキュリティ体制が問われる時代であることを示唆しています。
日産がレッドハットから報告を受けたのは10月3日で、その後すぐに国内の個人情報保護委員会に通知し、影響を受けた個々の顧客への連絡を進めていると報じられています。今回の流出は、9月にレッドハットで発生したデータ侵害が原因であり、日産は間接的な被害者となりました。この一連の動きは、インシデント発生から情報開示、そして影響を受ける顧客への通知に至るまでの企業の対応プロセスが、いかに迅速かつ透明性をもって行われるべきかを示す事例とも言えるでしょう。
レッドハットの侵害は、2025年9月下旬に検出され、10月上旬に日産に通知されました。この攻撃は、当初「Crimson Collective」と名乗る脅威アクターによって主張され、レッドハットのプライベートなGitLabリポジトリから数百ギガバイト、具体的には約570GBもの機密データが盗み出されたとされています。このデータには、28,000もの内部プロジェクトにわたる情報が含まれていました。
Crimson Collectiveは、レッドハットのコンサルティング事業を標的とし、顧客のネットワークやプラットフォームの詳細を記した約800件の「Customer Engagement Reports (CERs)」を窃取したと報じられています。これらのレポートには、認証トークン、完全なデータベースURI、その他の機密情報が含まれており、攻撃者はこれらを利用して顧客のインフラにアクセスしたとされています。その後、「ShinyHunters」という別の脅威アクターが関与し、盗まれたデータのサンプルを自身の恐喝プラットフォームで公開し、被害企業に直接的な圧力をかけました。
レッドハットの侵害の広範な影響は、Crimson CollectiveがTelegramに投稿したとされる、2020年まで遡るCERsのリストからも明らかです。このリストには、Bank of America、T-Mobile、AT&T、Fidelity、Kaiser、Mayo Clinic、Walmart、Costcoといった大手企業に加え、米海軍海上戦センター、連邦航空局、下院といった政府機関の名称も含まれていました。これは、レッドハットのセキュリティ侵害が、日産だけでなく、広範な業界にわたる多数の組織に潜在的なリスクをもたらしたことを示しています。
今回のレッドハットのデータ侵害により、日産福岡販売の顧客約21,000人の情報が流出したことが確認されました。流出した情報には、顧客の氏名、住所、電話番号、メールアドレスの一部、および販売活動で使用されたその他の顧客関連情報が含まれています。しかし、クレジットカード情報などの金融関連データは含まれていなかったと日産は強調しています。
日産は、現時点では漏洩した情報が悪用されたという証拠は確認されていないと述べていますが、顧客に対しては不審な電話やメールに細心の注意を払うよう呼びかけています。このような個人情報は、たとえ金融情報が含まれていなくても、ソーシャルエンジニアリング攻撃の貴重な材料となり得ます。攻撃者は、漏洩した情報を用いて、正規の企業を装った巧妙な詐欺メールや電話を仕掛け、さらなる個人情報の窃取や金銭的被害を狙う可能性があります。
日産はまた、侵害されたレッドハットの環境には、今回影響が確認されたデータ以外の顧客情報は保存されていなかったため、これ以上のデータ漏洩のリスクはないと説明しています。この事実は、情報が限定的な範囲にとどまっていることを示唆していますが、一度流出した個人情報が完全に回収されることは極めて困難であり、長期にわたる監視と警戒が求められます。
今回のインシデントは、日産にとって過去3年間で3度目の大規模なデータ侵害となります。2025年8月下旬には、日産のデザイン子会社であるCreative Box Inc. (CBI) がQilinランサムウェア攻撃の被害に遭いました。さらに昨年には、日産北米で53,000人の従業員が影響を受けるデータ侵害が発生し、また日産オセアニアではAkiraランサムウェア攻撃により100,000人の顧客データが流出しています。
これらの度重なるインシデントは、日産が直面しているサイバーセキュリティ上の課題の深刻さを物語っています。特に、今回のレッドハットの事例のように、第三者サービスプロバイダーを介したサプライチェーン攻撃は、企業が自社のセキュリティ対策をどれほど強化しても、外部要因によってリスクに晒される可能性があることを示しています。これは、現代のビジネス環境において、サプライチェーン全体のセキュリティを包括的に管理することの重要性を浮き彫りにするものです。
Crimson Collectiveのような脅威アクターは、企業のサプライチェーンの脆弱性を狙い、委託先のシステムを通じて主要なターゲットに侵入する手口を常套手段としています。レッドハットのGitLabリポジトリから認証トークンやデータベースURIといった機密情報を窃取したことは、攻撃者が単なるデータ流出だけでなく、その情報を足がかりとしてさらに深い侵入や、顧客インフラへのアクセスを試みる意図があったことを示唆しています。このような手口は、標的型攻撃の複雑化と高度化を反映しています。
漏洩した顧客データが悪用される可能性は、常に警戒すべき点です。氏名、住所、電話番号、メールアドレスといった情報は、フィッシング詐欺、スミッシング(SMSフィッシング)、ビッシング(音声フィッシング)などのソーシャルエンジニアリング攻撃において、信頼性を高めるために利用されます。攻撃者は、これらの情報を用いて、被害者が疑念を抱きにくいようなパーソナライズされたメッセージを作成し、機密情報の開示や不正な操作を誘導しようとします。
企業は、このようなサプライチェーン攻撃のリスクを軽減するために、多層的な防御戦略と継続的な監視体制を確立する必要があります。これには、委託先のセキュリティ評価の徹底、契約におけるセキュリティ要件の明確化、そして定期的な監査が含まれます。また、インシデント発生時には、迅速な検知、封じ込め、そして影響を受けた顧客への透明性のある通知が不可欠です。日産がレッドハットからの通知を速やかに受け、規制当局への報告と顧客への連絡を進めたことは、危機管理における重要なステップと言えるでしょう。
今回のレッドハットを介した日産の顧客情報流出事件は、現代のサイバー脅威がもはや単一の企業に限定されるものではなく、複雑に絡み合ったサプライチェーン全体に及ぶことを明確に示しています。企業は、自社の防御を固めるだけでなく、パートナー企業や委託先のセキュリティ体制にも目を光らせ、継続的なリスク評価と対策を講じる必要があります。デジタル化が進む社会において、このような連携と警戒が、顧客の信頼と企業のレピュテーションを守るための鍵となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Nissan says thousands of customers exposed in Red Hat breach - https://www.bleepingcomputer.com/news/security/nissan-says-thousands-of-customers-exposed-in-red-hat-breach/
- -Nissan: Thousands Impacted By Red Hat Breach - https://www.infosecurity-magazine.com/news/nissan-thousands-impacted-by-red/
- -21,000 Nissan Customers Exposed After Third-Party Server Breach - https://www.bitdefender.com/en-us/blog/hotforsecurity/21-000-nissan-customers-exposed-after-third-party-server-breach