_edited.png&w=3840&q=75){kind=small}
不正アクセス不正アクセス自動車産業製造業海外拠点
マツダ、タイ拠点の部品倉庫管理システムへの不正アクセスで692件の個人情報が流出の可能性
マツダ株式会社
影響規模:692件の個人情報(社員・取引先従業員)
インシデントの概要
2026年3月19日、マツダ株式会社は、同社がタイから調達する部品の倉庫業務に使用している管理システムに対し、2025年12月中旬に外部から不正アクセスが行われた痕跡を確認したことを公表しました。
事実関係
| 項目 | 内容 |
|---|---|
| 不正アクセス発生 | 2025年12月中旬 |
| 公式発表 | 2026年3月19日 |
| 影響件数 | マツダ、グループ会社、取引先の従業員 計692件 |
| 漏洩の可能性がある情報 | ユーザーID、氏名、メールアドレス、会社名、取引先ID |
| 顧客情報の漏洩 | なし(当該システムに顧客情報は登録されていない) |
| 二次被害 | 現時点で確認されていない |
実施済みの再発防止策
マツダは以下の対策を実施したと発表しています:
- 当該システムの脆弱性への修正プログラムの適用
- アクセス状況の監視強化
- 接続元の制限
なぜこのインシデントが起きたのか ー 原因分析
海外拠点の管理システムの脆弱性
- パッチ未適用の脆弱性: マツダ自身が再発防止策として「修正プログラムの適用」を挙げていることから、既知の脆弱性にパッチが適用されていなかったことが直接原因と推定される
- 海外拠点のセキュリティ管理: グローバル製造業では、本社のセキュリティポリシーが海外拠点や外部の管理システムに十分に適用されていないケースが多い
- 接続元制限の不備: 再発防止策に「接続元の制限」が含まれていることから、攻撃前は不特定多数のIPアドレスからアクセス可能だった可能性
企業が取るべき対策
1. 海外拠点・外部システムのセキュリティ統一基準
本社と同等のセキュリティポリシーを海外拠点や外部委託先にも適用し、定期的な監査を実施しましょう。特にパッチ管理は全拠点で統一的に運用すべきです。
2. 脆弱性管理の自動化
パッチ適用の遅延を防ぐため、脆弱性スキャンと自動パッチ管理ツールを導入し、CVSSスコアに基づく優先度付けで迅速な対応を実現しましょう。
3. アクセス制御の厳格化
業務システムへのアクセスは、VPN + 多要素認証 + 接続元IP制限の三重防御を基本とし、不要なアクセスポイントを排除します。
4. ペネトレーションテストの定期実施
ペネトレーションテストにより、「パッチ未適用の脆弱性を悪用してどこまで侵入できるか」を実証的に評価し、経営層に対して具体的なリスクを報告することで、セキュリティ投資の判断材料を提供できます。