トヨタ、29万件以上の顧客情報が漏えいした可能性

［東京　７日　ロイター］ - トヨタ自動車は７日、コネクティッドサービス「Ｔ－Ｃｏｎｎｅｃｔ」でメールアドレスなどの顧客情報が２９万件以上漏洩していた可能性があると発表した。２０１７年１２月からインターネット上でアクセス可能な状態となっていた。既に非公開化し、同日からお詫びとお知らせのメールを送付しているが、現在二次被害は確認されていない。

漏洩した可能性があるのは、メールアドレスと顧客管理番号で、２９万６０１９件に上る。対象顧客は、１７年７月以降「Ｔ－Ｃｏｎｎｅｃｔ」のユーザーサイトでメールアドレスを登録した顧客で、氏名や伝番号、クレジットカードなどの情報については漏洩の可能性はないという。

原因は、ウェブサイト委託先企業が、ソースコードの一部を誤って公開設定のまま情報をアップロードしたことによる。公開されていたソースコードにデータサーバーへのアクセスキーが含まれており、これを利用することで、２０１７年７月から２２年９月１５日の間、誰でもデータサーバーに保管されているメールアドレスなどにアクセスできる状態になっていた。

調査の結果、情報が保管されているデータサーバーのアクセス履歴からは第三者によるアクセスは確認できないものの、完全には否定できない状況としている。現時点では個人情報の不正利用などは確認されていない。

注目のコメント

高野聖玄
脅威分析研究所代表
・2022年10月07日
トヨタのメインサービスを受託している企業で、こういった管理体制の不備があることには、さすがに驚きです。本番サービスへのアクセスキーを含んだソースコードをGithubで公開してしまい、実際に攻撃を受けた事例は過去にいくつも指摘されているので、それらを教訓に開発現場におけるセキュリティ管理体制を見直した企業も多いと聞いていますが、本ケースではそうではなかったということなのでしょう。

トヨタ側の感覚としては、当然ながらサービス自体のセキュリティテストはしているはずなので、今回の部分は委託先の責任ということになるのでしょうが、結果の影響度を考えると、今後はセキュリティテストの際に、開発環境のクロージングも含めないといけないという話になりかねませんね。

漏洩していた場合、サービスユーザー側には、「T-Connect」を偽装したフィッシングメールなどが来る可能性はあります。「T-Connect」には車種と駐車位置のGPSを確認する機能があるので、大げさに言えば今流行りのランドクルーザー窃盗団が置き場を知るために悪用する、といったことも可能性としてはありえるので、リアルへの被害が発生し得る事案と言えます。
あんときはるか
地域包括
・2022年10月07日
「公開設定のまま情報をアップロード」…人の手と頭がデジタルに正しく司令を出せなかった。ヒューマンエラーです。

いつもアナログとデジタルの接続点に、エラーリスクがある気がします。たくさんの設定項目があるアップロード作業とか特に。

デジタル推奨派ですが、もう少しユーザーフレンドリーなUIなら上手く合わせられるのにと思うことがあります。