マツダにまた不正アクセス、タイ倉庫システムから692件の情報流出か

692件という数字は小さく見える。だが、これが「2度目」だと知ったら、印象は変わるはずだ。マツダのセキュリティ体制に、いま改めて問いが突きつけられている。

タイの倉庫システムに何が起きたのか

マツダが抱えるセキュリティ問題が、また一つ表面化している。同社は2026年3月19日（日本時間）、タイからの調達部品に関する倉庫業務の管理システムが不正アクセスを受け、従業員や取引先の個人情報692件が外部に流出した可能性があると公式に発表した。

不正アクセスが発覚したのは2025年12月中旬。外部専門機関との共同調査で、当該システムに存在していたセキュリティ上の脆弱性が第三者に悪用されたことが判明した。マツダは発覚後、速やかに個人情報保護委員会へ報告し、対策に着手したとしている。

流出した可能性があるのは、マツダが発行したユーザーID、氏名、メールアドレス、会社名、取引先IDの5項目だ。対象はマツダ本体、グループ会社、取引先の従業員に限られ、一般の顧客情報は当該システムに登録されていないため影響はないという。

ここまでなら「規模の小さい情報漏洩」で片付けられるかもしれない。だが、この事案の本当の問題は、数字の大きさではない。

「顧客情報はない」は安心材料になるか

マツダは今回の発表で、顧客情報の流出可能性を明確に否定している。自動車メーカーにとって最も守るべき情報は車両オーナーの個人データであり、その点では最悪の事態は回避された格好だ。

しかし、流出した可能性のある情報にはメールアドレスと実名のセットが含まれている。サプライチェーンに関わる従業員のメールアドレスと所属企業名がセットで漏れた場合、標的型フィッシングの「入口」として極めて有用な情報になる。

マツダは公式発表で、フィッシングメールやスパムメールへの警戒を呼びかけ、不審なメールに記載されたリンクや添付ファイルを開かないよう注意を求めている。

692件という数字は確かに少ない。だが、サプライチェーン攻撃の起点として使われるなら、692件で十分すぎる。攻撃者が必要とするのは、信頼される差出人になりすませる「種」だ。

繰り返されるマツダのセキュリティ事案

今回の侵害を「単発の事故」として見ると、全体像を見誤る。マツダのセキュリティ事案には、ここ数年で明確なパターンが形成されつつある。

2023年7月、マツダは社内のディレクトリサーバーが不正アクセスを受け、従業員やグループ会社、取引先のアカウント情報10万4,732件が流出した可能性があると発表している。

ユーザーID、暗号化パスワード、氏名、メールアドレス、会社名、部署、電話番号が対象だった。このときも顧客情報は含まれていなかった。

「従業員・取引先が対象」「顧客情報は無事」「脆弱性を突かれた」──この説明が2年半の間隔で繰り返されている。構図の酷似は偶然で済ませられるだろうか。

さらに2025年11月には、ロシア系ランサムウェアグループClopがMazda.comとMazdaUSA.comを自身のリークサイトに掲載し、データを窃取したと主張する事態が起きた。これはOracleのE-Business Suiteに存在したゼロデイ脆弱性を悪用した大規模キャンペーンの一環で、NHSやCanonなど100社以上が標的になった。マツダ側は当時、攻撃を検知・阻止し、データ流出はなかったとしている。

BleepingComputerの報道は、今回のタイ倉庫システムの侵害とClopの主張が直接結びつくかどうかは不明としつつも、時系列の近さを指摘している。Clopのリーク掲載が2025年11月、タイ倉庫への不正アクセス発覚が同年12月。偶然の一致かもしれないが、同時期に複数のセキュリティ事案が重なっている事実は軽視できない。

マツダのセキュリティ体制は変わるのか

マツダは再発防止策として、インターネットからの通信を最小限にする見直し、接続元の限定、修正プログラムの迅速な適用、アクセス監視の強化を挙げている。ITmedia NEWSの報道によれば、これらの対策はすでに実施段階にある。

対策の内容自体は妥当だ。だが問題は、2023年の事案の後にも「セキュリティ体制の改善」「監視体制強化」を宣言していた点にある。日本経済新聞が報じたように、今回は692件という比較的小規模な事案だ。しかし、改善を約束した後に再び侵害が発生したという事実は、外部からの信頼に影を落とす。

では、なぜ「改善」が効かなかったのか。

製造業のサプライチェーンは、グローバルに広がるほど攻撃面も拡大する。中核システムを堅牢にしても、末端の業務システムに穴があれば、そこが侵入経路になる。タイの倉庫という「本丸から遠い場所」が狙われたこと自体が、現代のサイバーセキュリティの構造的課題を映し出している。

現時点でランサムウェアグループによる犯行声明は出ていない。二次被害も確認されていない。だが、「被害が小さかったから問題ない」では済まされないだろう。

マツダにとって本当に問われているのは、692件の情報ではなく、「次」を防ぐ体制が本当に機能するかどうかだ。

#マツダ #不正アクセス #個人情報流出 #サイバーセキュリティ #Clop #サプライチェーン