日産カナダ・ファイナンスが不正アクセスにより、113万人の顧客情報漏えいの可能性があると発表した。

2017年12月11日、日産カナダ・ファイナンスは不正アクセスを確認。現時点では被害の正確な範囲は同社も確認出来ていないが、予防措置として全顧客に不正アクセスが発生し、顧客情報が漏洩した可能性を通達済み。全顧客に対してTransUnionの与信監視サービスを無料で12ヶ月間提供する。

不正アクセスにより、漏洩したデータには顧客名、住所、車両の製造元とモデル、車両識別番号（VIN）、クレジットスコア、ローン金額、月額支払い金額等が含まれているという。現在対応策として、法執行機関やデータセキュリティ専門家らに支援を要請し、被害の全貌と今後の対応策について調査中とのこと。

なお、本件の対象となるのは、日産カナダ・ファイナンスを通じて車のローンを締結している顧客のみで、日産カナダ・ファイナンスから融資を受けていない、日産カナダの顧客、インフィニティの顧客は影響を受けない。

■増加傾向にある不正アクセス

サイバー攻撃の手法には「トレンド」があり年々変化するが、近年増加しているのが、不正アクセスだ。これには、ダークネットと呼ばれるサイバー攻撃者らの「闇市場」でID/PWの売買が行われていることも原因の1つとして考えられる。サイバー攻撃者らはID情報を大量に保有するサービスに狙いをつけ、数千万、数億個のIDを入手すると、こういった「闇市場」で売買する。そしてこういったID/PWの「名簿」を入手したサイバー攻撃者は、他のサービスでも利用出来るかを確認する。

多くのユーザがIDとPWを複数サイトで使いまわしている実態も明らかになっており、サイバー攻撃者は入手した「名簿」から、不正アクセス可能なサービスを探す。

上記は、あくまで攻撃の一例であり、日産カナダファイナンスに加えられた攻撃が同一のものであるとは現在の所わかっていない。但し、ID/PWが売買される「闇市場の存在」と「ユーザのID/PWの使い回し」が無くならない限りは、今後も不正アクセスの被害は増加し続けることになるだろう。

システム管理者はこういった現状を踏まえて、ユーザに対してID/PWの使い回し行為の禁止や、多要素認証システムの導入、CASB等による不正アクセスの痕跡の検出といった対策を検討することを推奨する。