日産ノースアメリカにデータ侵害が発生:17,998人の顧客データが流出-IoT OT Security News
絆ワークプロジェクトでは、社員の引き抜きやデータ不正持ち出しなど、企業の不正に関する事例について取り上げ、皆様へ情報共有を行っております。
◇◇◇
Nissan North America にデータ侵害が発生:17,998人の顧客データが流出
この事例の3つのポイント
①サードパーティ・ベンダーより個人データが流出
②データベースの設定不備が原因
③顧客の個人情報が含まれる可能性が高い
Nissan North America は、サードパーティ・プロバイダーにおける情報漏えいを介して、顧客情報の流出が発生したことを発表した。このセキュリティ・インシデントは、2023年1月16日 (月) にメイン州司法長官事務所に報告されたものであり、17,998人の顧客が侵害の影響を受けたことを、Nissan は明らかにしている。Nissan による通知には、2022年6月21日にソフトウェア開発ベンダーの1社から、データ侵害の通知を受けたとIoT OT Security Newsは報じている。
このサードパーティ・ベンダーは、Nissan から受け取った顧客データを用いて、自動車メーカー向けのソフトウェア・ソリューションの開発/テストを実施していたが、データベースの設定不備により漏えいが発生したという。
Nissan は、このインシデントの発生を受け、漏洩したデータベースの安全性を確保し、社内調査を開始した。そして 2022年9月26日には、不正アクセスを受けた可能性が高いことが判明していた。
この通知には、「調査の結果、2022年9月26日の時点において、このインシデントからデータへの不正アクセス/取得へとつながり、そこに顧客の個人情報が含まれる可能性が高いと判断した。原因は、ソフトウェア・テストの最中に、コード内に埋め込まれたデータが、意図せずしてクラウドベースのパブリック・リポジトリに、一時的に保存されていたことにある」と記されている。
漏洩したデータには、フルネーム/生年月日/NMAC アカウント番号 (Nissan ファイナンス口座) などが含まれる。なお、今回の通知では、漏えいした情報にはクレジットカード情報/社会保障番号は含まれていないと明言しているという。
