Bleeping Computerは3月23日(米国時間)、「Mazda discloses security breach exposing employee and partner data」において、自動車メーカーのマツダから従業員およびビジネスパートナーの情報が流出したと報じた。

マツダの発表によると、タイから調達する部品の倉庫業務に利用している管理システムに外部から不正アクセスされ、従業員の個人情報など692件を外部に流出した可能性があるという。

  • マツダの倉庫システムに不正アクセス Photo:PIXTA

    マツダの倉庫システムに不正アクセス Photo:PIXTA

倉庫管理システムに不正アクセス、従業員ら692件の情報が流出の可能性

同事案は2025年12月中旬に発生したとされる。発見に至った経緯は明らかにしていないが、外部から不正アクセスされた痕跡が確認されたため、速やかに個人情報保護委員会へ報告するとともに外部の専門機関と連携して調査を実施したという。

調査の結果、グループ会社および取引先従業員の個人情報の一部を外部に流出した可能性が確認された。これを受けて同社はアクセス制限、修正プログラムの適用、外部アクセスの監視強化などのセキュリティ対策を実施している。

流出した可能性のある個人情報は次のとおり。なお、対象のシステムに顧客情報は保存されておらず、顧客情報の流出の可能性はないとしている。

  • ユーザーID
  • 氏名
  • メールアドレス
  • 会社名
  • 取引先ID

攻撃者の侵入経路は当該システムに存在していた脆弱性と推定されている。システムの詳細や、脆弱性(CVE)についての発表は確認できていない。

マルウェア感染やランサムウェア被害は確認されず

Bleeping Computerがマツダに問い合わせしたところ、広報担当者から次の返答があったと報告している。

「これまでの調査の結果、マルウェア感染やランサムウェア攻撃は確認されておらず、業務への直接的な影響も確認していません。現時点では、攻撃者からの接触も確認されていません」

Bleeping Computerの調査においても侵害を報告したランサムウェアグループは確認されていない。そのため流出情報は今回発表された範囲にとどまり、今後被害が拡大する可能性は低いと予想される。

侵入経路は脆弱性と推定、詳細やCVEは未公表

侵入経路については、当該システムに存在していた脆弱性が悪用された可能性が高いとみられている。

ただし、マツダは現時点で具体的な脆弱性の内容や識別番号(CVE)については公表していない。どのレイヤーに起因する問題だったのか(アプリケーション、ミドルウェア、設定不備など)も明らかにされていない。

一般的に、倉庫管理システムのような業務システムは外部との連携が多く、アクセス制御やパッチ適用の遅れが攻撃の起点となるケースがある。今回の事案でも、こうした管理面の不備が関与している可能性がある。

なお、現時点では攻撃者の手法や侵入経路の詳細は特定されておらず、同社は引き続き調査を進めている。