マツダは9月15日、同社のサーバーが外部からの不正アクセスを受け、管理している個人情報の一部が外部へ流出した可能性があると発表した。なお、顧客の個人情報は、不正アクセスを受けたサーバーに保管されていなかったため、流出していないとのこと。
現時点で判明している事実(調査は現在も続行中)およびマツダの対応については、以下の通り。
1.概要
2023年7月24日(月) 、サーバー機器を経由した不正な通信を検知し、直ちにサーバー機器をネットワークから切り離すなど必要な対策を実施。その後、第三者機関(外部セキュリティ専門家)の調査により、システムのアカウント情報等を管理するシステム(ディレクトリサーバー)への不正アクセスの形跡が確認され、個人情報の一部が外部へ流出した可能性があることが判明した。
2.流出した可能性がある個人情報
マツダとグループ会社の社員、協力会社社員、取引先の担当者の下記アカウント情報(104,732件)。
・マツダが発行したユーザー
・パスワード(暗号化値)
・氏名(漢字、ローマ字)
・メールアドレス
・会社名
・部署、役職名
・電話番号
なお、マツダは、現時点で確認はされていないが、今後、これら個人情報を悪用したフィッシングメールやスパムメール等が送られる可能性があるとして、不審なメールを受け取った場合には慎重に対応して欲しいと、各社に対し、協力を呼び掛けている。
3.原因
外部セキュリティ専門家の調査結果では、今回の不正アクセスは、マツダの社内に設置されたアプリケーションサーバーの脆弱性が悪用されたものであったことが判明。
4.マツダの対応について
本件事象の認知後、マツダでは、不正アクセスに用いられたIDを無効化し、サーバーをシャットダウンすると共に、外部セキュリティ専門家のフォレンジック調査(※)を実施した。なお、発表までに時間を要したのは、外部セキュリティ専門家の調査による影響の範囲を確定させるまでに相応の時間が必要だったためだと云う。
また、今回の件については、既に警察への相談や個人情報保護委員会への必要な報告を実施。外部セキュリティ専門家の協力を得ながら、関係各機関と連携し、事実の確認および適切な対応に務めているとのこと。
今後は、この事態を重く受け止め、セキュリティ体制の改善、全てのウェブサイトとネットワークに対する監視体制強化など、再発防止に全力で取り組んでいくとしている。
※)フォレンジック調査:ネットワークのアクセスログやパケットを確認し、不正アクセスや機密情報の漏えい記録などが発生しているか、その原因は何かを調査するもの。
[問い合わせ先]
(マツダ)不正アクセス発生による個人情報流出可能性に関しての問合せフォーム 