_edited.png&w=3840&q=75){kind=small}
ランサムウェア(サプライチェーン攻撃)ランサムウェア自動車産業サプライチェーン認証情報漏洩
日産自動車のディーラーデータ910GBが窃取 ー Everestランサムウェアグループが委託先を攻撃
日産自動車株式会社(委託先:GCSSD)
影響規模:910GBのディーラーデータ(顧客DB、修理履歴、ローン情報等)
インシデントの概要
2026年4月1日、ランサムウェアグループ「Everest」が、日産自動車およびInfinitiの北米ディーラー向けITサービスを提供する委託先企業「GCSSD」を攻撃し、910GBのデータを窃取したと公表しました。
時系列
| 日付 | 内容 |
|---|---|
| 2026年1月 | 攻撃者がGCSSDのFTPサーバーに侵入、データ窃取 |
| 2026年1月 | Everestグループが日産に身代金を要求 |
| ー | 日産は身代金の支払いを拒否 |
| 4月1日 | Everestがダークウェブの恐喝ポータルで情報公開を告知 |
| 4月3日 | データ公開の最終期限を通告 |
窃取されたとされるデータ
- 6年分の顧客データベース
- 修理注文データ
- ディーラー従業員情報
- 日産ファイナンシャルサービスのローン情報
- 社内業務レポート
日産の公式見解
- 「非公開のベンダー」に影響するサイバーインシデントを認識している
- 調査の結果、問題はベンダーに限定されている
- 日産の自社システムが侵害された兆候はない
- 日産の顧客情報が直接アクセスされた痕跡はない
情報出典: CyberNews 報道、The Record by Recorded Future 報道、SC World 報道、DataBreach.com 分析
なぜこのインシデントが起きたのか ー 明確な原因
2023年から公開されていた認証情報 + MFA未導入
攻撃者自身が以下を主張しており、セキュリティ研究者もこれを裏付けています:
- 認証情報の再利用: GCSSDのFTPサーバーの認証情報が、2023年9月以降にデータ侵害(breach)データベースで一般公開されていた
- 多要素認証(MFA)の未導入: FTPサーバーにはMFAが設定されておらず、流出したID/パスワードだけでアクセスが可能だった
- 委託先管理の不備: 日産は委託先のGCSSDに対して、認証情報の定期変更やMFAの導入を義務付けていなかった可能性
企業が取るべき対策
1. 認証情報の侵害チェックを定期実施
自社および委託先の認証情報が、ダークウェブのbreachデータベースに流出していないかを定期的に監視しましょう。Have I Been Pwnedなどのサービスや、ダークウェブモニタリングサービスが有効です。
2. FTPの廃止とセキュアなファイル転送への移行
FTPは認証情報が平文で送信される旧式のプロトコルです。SFTPやセキュアなマネージドファイル転送(MFT)ソリューションへの移行を検討しましょう。
3. 委託先への多要素認証の義務化
委託先との契約において、すべてのリモートアクセスに多要素認証を適用することを契約条件として義務付けましょう。
4. ペネトレーションテストを委託先にも拡大
自社システムだけでなく、委託先が運用するシステムに対してもペネトレーションテストを定期的に実施し、「流出した認証情報で本当にアクセスできるか」を実証的に検証することが重要です。
5. 身代金を払わない判断の準備
日産は身代金の支払いを拒否しました。これはセキュリティの専門家も推奨する対応ですが、支払い拒否の場合にデータが公開されるリスクに対し、事前に法務・広報・経営層を含めた意思決定プロセスを確立しておくことが重要です。