日産自動車は2025年12月、顧客管理システムの開発を委託していた第三者請負業者Red Hatが管理するサーバーへの不正アクセスにより、日産福岡販売の顧客約21,000人の個人情報が流出したことを公表した。
Red Hatは2025年9月26日に不正アクセスを検知し、直ちに攻撃者のアクセスを無効化して再侵入防止策を実施した。日産自動車への通知は10月3日で、同日、個人情報保護委員会に報告された。流出した情報には、氏名、住所、電話番号、メールアドレスの一部が含まれるが、クレジットカード情報や決済詳細は含まれていない。
影響を受けたのは、旧福岡日産自動車で車両購入やサービスを受けた顧客である。現時点で流出データの二次利用は確認されていない。日産は請負業者への監視強化と情報セキュリティプロトコルの強化を表明し、影響を受けた顧客とビジネスパートナーに謝罪した。
なお、攻撃の規模や攻撃者に関する詳細の一部は、攻撃者側の主張や推定に基づく報道・分析も含まれるため、公式発表などで裏付けが取れていない情報については断定を避ける必要がある。
From: 
Nissan Confirms Data Breach Following Unauthorized Access to Red Hat Servers
【編集部解説】
今回の日産データ侵害事件は、サプライチェーンセキュリティにおける構造的な脆弱性を浮き彫りにしています。重要なのは、日産側の説明では自社システムへの直接侵入が確認されたわけではなく、顧客管理システムの開発を委託していた第三者環境(Red Hat側で管理されるサーバー)への不正アクセスが起点となった点です。報道では、Red Hatが運用する自己管理型のGitLab環境が侵害された可能性が指摘されています。
業務委託先への不正アクセスによる個人情報漏洩のお詫びとご報告
日産自動車は販売会社の顧客管理システムの開発を委託していたRedHat社より、同社のデータサーバーに不正なアクセスがあり、データが流出したとの報告を受けました。その後、同社から流出したデータに、日産福岡販売株式会社のお客さま情報の一部が含まれていることが確認されました。
日産自動車株式会社公式プレスリリースより引用
Red Hatへの攻撃は2025年9月26日に検知されましたが、日産への通知は10月3日と、約1週間の時間差が生じました。この通知の遅れは、サードパーティ経由のインシデント対応における課題を示しています。攻撃者グループ「Crimson Collective」は、内部リポジトリから大容量データを取得したなどと主張しており、報道・分析の一部では「圧縮データ約570GB」「内部リポジトリ約28,000」「顧客関連の報告書(CER)約800件」といった数字が取り上げられています。ただし、これらは攻撃者側の主張に基づく情報を含むため、公式に確認された範囲と切り分けて扱う必要があります。
今回の日産福岡販売の顧客約21,000人の情報流出は、第三者環境の侵害が複数の顧客・案件に波及し得ることを示す事例といえます。流出した情報には氏名、住所、電話番号、メールアドレスの一部が含まれますが、クレジットカード情報は含まれていないため、少なくともカード決済の不正利用に直結するリスクは低いと考えられます。ただし、これらの情報は標的型フィッシング攻撃に悪用される可能性があります。
この事件が示す最大の教訓は、企業が自社システムをどれだけ堅牢化しても、委託先やパートナー企業のセキュリティが脆弱であれば、結果的に自社の顧客データが危険にさらされるという現実です。一般に、開発・運用に用いられるリポジトリや関連ドキュメントには、認証情報や接続設定など機微な情報が含まれ得ます。そのため、こうした環境が侵害された場合、被害が開発情報にとどまらず、二次的な不正アクセスやフィッシング等のリスクにつながる可能性があります。
日産をめぐっては、2025年にもサイバーセキュリティに関する複数の報道・公表があり、継続的な対策強化の必要性が指摘されています。報道では、8月にデザイン子会社がQilinランサムウェアの攻撃を受けており、2023年には北米で53,000人の従業員情報が、オセアニアでは100,000人の顧客情報が流出しているとされています。こうした連続する事案は、グローバル企業におけるセキュリティガバナンスの難しさを物語っています。
今後、日産は請負業者への監視体制を強化すると表明していますが、根本的には、委託先選定時のセキュリティ基準の厳格化や、定期的な監査、インシデント発生時の迅速な情報共有体制の構築など、サプライチェーン全体を視野に入れた包括的な対策が求められます。
【用語解説】
GitLab
ソフトウェア開発におけるバージョン管理とCI/CD(継続的インテグレーション/継続的デリバリー)を実現するプラットフォームである。開発者が共同でコードを管理し、自動化されたテストやデプロイを行うために使用される。GitLabにはクラウド版と自己管理版があり、今回侵害されたのはRed Hatが自社で運用していた自己管理版(セルフマネージド版)である。
顧客エンゲージメント報告書(CER)
Customer Engagement Reportの略。コンサルティング会社が顧客との業務において作成する報告書で、顧客のインフラストラクチャ詳細、ネットワーク構成、認証トークン、データベース接続情報などの機密性の高い技術情報が含まれ得る。攻撃者にとっては顧客のシステムに侵入するための貴重な情報源となる。
Crimson Collective
2025年10月初旬ごろからRed Hatの自己管理型GitLab環境の侵害をめぐる文脈で、報道や分析記事で言及されるようになった攻撃者名。なお、他の犯罪グループ(例:ShinyHunters)との関係については関連を示唆する報道・分析がある。
【参考リンク】
日産自動車株式会社 公式サイト(外部)
日本を代表する自動車メーカー。本件の情報漏洩に関する公式発表を掲載している。
Red Hat 公式サイト(外部)
エンタープライズ向けオープンソースソリューションを提供する米国のソフトウェア企業。
GitLab 公式サイト(外部)
DevOpsプラットフォームを提供する企業。バージョン管理、CI/CD、セキュリティ機能を統合。
個人情報保護委員会(外部)
日本における個人情報保護に関する独立行政委員会。個人情報保護法の運用を担当。
BleepingComputer(外部)
サイバーセキュリティとテクノロジーに特化した信頼性の高いニュースサイト。
【参考記事】
Nissan says thousands of customers exposed in Red Hat breach(外部)
日産が9月のRed Hat侵害により数千人の顧客情報が流出したことを確認。
Nissan: Thousands Impacted By Red Hat Breach(外部)
日産福岡販売の21,000人の顧客が影響を受けたサードパーティデータ侵害の詳細。
Nissan Confirms Impact From Red Hat Data Breach(外部)
9月下旬に発生したRed HatのGitLabインスタンスへの不正アクセスの詳細。
Red Hat GitLab Data Breach: The Crimson Collective’s Attack(外部)
Crimson Collectiveによる攻撃の詳細なタイムラインと影響範囲の分析。
Red Hat confirms security incident after hackers breach GitLab instance(外部)
Red Hatが自己管理型GitLabインスタンスへの侵害を確認した経緯。
21K Nissan customers’ data stolen in Red Hat raid(外部)
旧福岡日産自動車で車両購入またはサービスを受けた約21,000人の顧客が影響を受けた。
Red Hat breach escalates as Crimson Collective recruits help(外部)
Crimson CollectiveがShinyHuntersと連携し恐喝キャンペーンをエスカレート。
【編集部後記】
今回の日産の事例は、私たち自身のデータが思いもよらない経路で危険にさらされる可能性を示しています。自動車を購入したディーラーが委託した開発会社のサーバーが侵害される——こうした多層的なサプライチェーンの中で、私たちの情報はどこまで守られているのでしょうか。
企業を選ぶ際、製品やサービスの質だけでなく、その企業のセキュリティ体制や委託先管理についても意識を向ける時代が来ているのかもしれません。みなさんは、自分の個人情報がどのように管理されているか、考えたことはありますか。
