オーストラリアとニュージーランドの日産自動車および日産フィナンシャルサービス(以下、日産オセアニア)は3月13日(現地時間)、「Important Update from Nissan Oceania|Nissan Australia」において、2023年12月5日(現地時間)に発生したサイバー攻撃について続報を発表した(参考:「日産自動車、オセアニア部門への不正アクセスの被害事実を認め対応中 | TECH+(テックプラス)」)。

  • Important Update from Nissan Oceania|Nissan Australia

    Important Update from Nissan Oceania|Nissan Australia

サイバー攻撃による被害状況

発表によると、このサイバー攻撃により、日産の顧客の一部(三菱、ルノー、スカイライン、インフィニティ、LDV、RAMブランドの金融事業の顧客を含む)、ディーラー、一部の現従業員および元従業員の情報が漏洩したという。被害総数は約10万人。日産オセアニアは今後数週間以内に全員に対して正式に通知する予定としている。なお、連絡先の重複を取り除くことで被害総数は減少する可能性がある。

漏洩した情報は個々人で異なる。被害対象者のうち最大で約10%(1万人ほど)は、メディケアカード、運転免許証、パスポート、納税ファイル番号などの政府IDを漏洩した可能性がある。残りの約90%はローン取引明細書、雇用または給与情報、生年月日などの個人情報を漏洩した可能性がある。

なお、このサイバー攻撃を実施したとみられるランサムウェア「Akira」は、窃取した100GBに及ぶデータを公開している。Akiraのデータ漏洩サイトの説明によると、データは暗号化されていないアーカイブファイルとされる。

  • データ公開について解説するAkiraのデータ漏洩サイト - 引用:Bleeping Computer

    データ公開について解説するAkiraのデータ漏洩サイト 引用:Bleeping Computer

日産による今後の対策

日産オセアニアは影響を受けた顧客および従業員に対し、さらなる被害を防止するために次のような防衛策の実施を推奨している。

  • 異常なまたは不審なオンライン活動に注意する
  • 不審なメールのリンクをクリックしたり、添付ファイルを開いたりしない
  • 身に覚えのない内容の電話やメール、個人情報を求めるメッセージに注意する
  • 受信した通信(メールやメッセージなど)の送信者を必ず確認し、通信が正当なものか検証する
  • パスワードを強力なものに変更し、複数のアカウント間でパスワードを使い回さない

また、影響を受けた顧客へのサポートとして、IDCAREサービスの無料提供、Equifax信用監視サービスへの12カ月間無料アクセス、Centrixへの無料アクセス、公的な要請に基づくID交換費用の払い戻しを提供するとしている。さらに、専用のカスタマーサポートラインをオーストラリア、およびニュージーランドで開設しており、平日の午前7時から午後7時(オーストラリア東部夏時間)まで連絡することができる。