事件の概要
2025年8月16日、日産自動車の100%子会社であるデザインスタジオ「クリエイティブボックス株式会社(CBI)」で不正アクセスが発覚しました。
Qilin(キリン)と名乗るランサムウェアグループが「4TB超のデータを盗んだ」と主張し、8月20日に脅迫ポータルで公開リストにCBIを追加。さらに8月27日には、デザインデータの一部流出が現実のものとなったことが報じられています。
CBIは原宿に拠点を構える日産デザインの“実験室”とも言える存在で、未来のコンセプトカーを形にしてきた子会社です。しかし今回は、車の未来を描くどころか、サイバー攻撃の“実験台”となってしまった格好です。
被害内容とリスク
Qilinは、3Dデザインファイル、財務関連文書、従業員データなど40万件超のファイルを入手したと主張しています。日産側は「一部のデザインデータが外部流出した」ことを認めましたが、公式リリースは未だに出されていません。
情報セキュリティにおいて「隠蔽は最悪の戦略」です。被害範囲の不透明さは、社内外の信頼をさらに揺るがしています。
この事件で注目すべきは、“親会社本体”ではなく“子会社”が狙われた点です。大企業本体は比較的堅牢なセキュリティ対策を取っていても、周辺子会社のセキュリティはしばしば手薄。その弱点を突かれた典型例と言えるでしょう。
経営への影響──「車はデザインできても、セキュリティは設計できず」
日産は販売低迷や競合激化で経営再建の道半ばにあります。そこに今回の事件──経営危機に追い打ちをかけるようなセキュリティ失態が重なったのです。
いくら“かっこいいクルマ”をデザインしても、裏で知的財産が盗まれていては競争力の源泉そのものを失いかねません。
CBIは「走る実験室」として未来のクルマを形にしてきましたが、今や「走る情報漏えい」の象徴になりつつあります。ブランドの信頼が地に落ちるのは一瞬、回復には長い年月が必要です。
教訓と皮肉
結局のところ今回の教訓はシンプルです。
-
子会社や下請けを含めたサプライチェーン全体のセキュリティガバナンスが不可欠
-
公式な迅速な情報開示こそが信用を守る最小限の対応
経営再建に必死な日産にとって、不正アクセスによる信用失墜はまさに「泣きっ面に蜂」。いや、むしろ「セキュリティ軽視のツケを子会社が払わされた」と表現するべきでしょう。
出典:日産、Qilinランサムウェアによるデザインスタジオのデータ侵害を確認(アーカイブ)
出典:Nissan confirms data breach(アーカイブ)
出典:Nissan confirms design studio data breach claimed by Qilin ransomware(アーカイブ)