#980 日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客が流出した可能性

#980 日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客が流出した可能性 インシデント

今回は、大手自動車メーカーで発生した、業務委託先への不正アクセスによる個人情報漏洩の事例を取り上げます。
自社のセキュリティ対策をどれだけ強化していても、システム開発などを委託しているパートナー企業が攻撃を受ければ、そこから情報が漏れてしまうリスクがあるという、いわゆるサプライチェーン攻撃の典型的なケースですね。
このニュースを通じて、委託先管理の難しさや、インシデント発生時の情報連携の重要性について、リスナーの皆さんと一緒に考えていきたいと思います。
どのようなデータが漏洩し、企業としてどう対応すべきだったのか、具体的なポイントを見ていきましょう。

日産自動車株式会社は12月、業務委託先への不正アクセスによる個人情報漏えいについて発表した。

こちらの記事を、簡単に解説お願いできますでしょうか?

今回のインシデントは、大手自動車メーカーが12月に発表したものです。
事の発端は9月26日、このメーカーが販売会社の顧客管理システムの開発を委託していたIT企業のデータサーバーに対して、外部から不正なアクセスが行われたことでした。その後、10月3日になって、委託先の企業からメーカー側へ「データが流出した可能性がある」との報告が入っています。
調査の結果、流出したデータには、特定の地域にある販売会社で車両を購入したり、サービスを利用したりした顧客、およそ21,000人分の情報が含まれていました。具体的には、住所、氏名、電話番号、メールアドレスの一部、さらには営業活動に使われる顧客関連情報などが対象となっています。メーカー側は対象となる顧客への連絡を進めるとともに、委託先の監視体制を強化すると発表しています。

質疑応答

そもそも、今回のように委託先が狙われるケースは多いのでしょうか?

非常によくあるケースでして、これを「サプライチェーン攻撃」と呼びます。
大企業本体はセキュリティ対策が堅牢で、正面から攻撃を仕掛けてもなかなか侵入できないことが多いのです。
そこで攻撃者は、比較的セキュリティ対策が手薄になりがちな関連会社や、業務委託先のIT企業などを狙い、そこを踏み台にして本丸のデータにアクセスしたり、委託先が預かっている情報を盗み出したりします。
今回の場合も、メーカー本体ではなく、システムの開発を任されていた委託先のサーバーが標的になってしまいました。
企業としては、自社だけでなく、取引先も含めたサプライチェーン全体でセキュリティレベルを維持しなければならないという、非常に難しい課題を突きつけられていると言えますね。

不正アクセスはどのようにして検知されたのでしょうか?

記事の情報によれば、委託先の企業自身が9月26日に不正アクセスを検知したとのことです。
検知の具体的な仕組みまでは公開されていませんが、通常、サーバーへのアクセスログを監視するシステムや、不審な通信を検知するセキュリティソフトなどがアラートを出したと考えられます。
重要なのは、検知した直後に当該アクセスを排除し、再侵入を防ぐ対策を講じたという初動対応です。
ただ、検知からメーカーへの報告までに約1週間ほどのタイムラグがありました。
これはおそらく、本当に情報が流出したのか、どの範囲のデータが影響を受けたのかを慎重に調査していたためだと思われますが、被害の拡大を防ぐためには、第一報をいかに早く共有できるかも重要なポイントになりますね。

流出した情報が悪用されると、どんな被害が出る可能性がありますか?

今回流出した情報には、住所や氏名、電話番号といった基本的な個人情報に加えて、営業活動に使用する情報も含まれていました。
これらが悪用されると、まずはフィッシング詐欺や迷惑メールのターゲットになる可能性が高まります。
たとえば、「お車のメンテナンス時期です」といった偽のメールが届き、そこから偽サイトへ誘導されてクレジットカード情報を盗まれる、といった手口が考えられますね。
また、営業情報が含まれているということは、その人がどんな車に乗っているか、いつ購入したかといったライフスタイルに関する情報も知られてしまう恐れがあります。
これにより、非常に巧妙で信憑性の高い詐欺アプローチが可能になってしまうため、対象となった顧客は不審な連絡に対して普段以上に警戒する必要があります。

再発防止のために、メーカー側はどのような対策を行うべきでしょうか?

今回の発表では「委託先への監視体制を強化する」とされています。
具体的には、単に仕事を任せるだけでなく、委託先のセキュリティ対策状況を定期的にチェックすることが求められます。
たとえば、セキュリティチェックシートを使って対策状況を自己申告させたり、場合によっては第三者による監査を入れたりして、契約通りの管理が行われているかを確認するプロセスが必要です。
また、開発環境や本番環境へのアクセス権限を最小限に絞る、重要なデータは暗号化して保存するといった技術的な要件を、発注元の責任として委託先に守らせることも重要ですね。
丸投げにするのではなく、発注元がリーダーシップを持ってセキュリティ品質を担保する姿勢が不可欠です。

私たち発注側の企業として、今回の件から何を学ぶべきでしょうか?

最も大きな教訓は、「委託先に預けたデータが漏洩した場合、最終的な責任は発注元である自社が負うことになる」という点です。
顧客から見れば、システム開発会社がどこであろうと、信頼して情報を預けたのはあくまでその自動車メーカーや販売会社だからです。
ですから、委託先を選ぶ際には、技術力やコストだけでなく、セキュリティ体制がしっかりしているかを重要な選定基準にする必要があります。
そして、万が一インシデントが発生した際に、いつ、誰に、どのように報告するかという緊急時の連絡フローをあらかじめ取り決めておくことも、被害を最小限に抑えるためには欠かせない準備だと言えるでしょう。

まとめ

委託先に任せきりにするのではなく、自分たちの責任としてしっかりと管理し、共にセキュリティを高めていく姿勢が大切なんですね。また一つ、勉強になりました!

タイトルとURLをコピーしました