Toyota discloses data leak after access key exposed on GitHub
2022/10/10 BleepingComputer — トヨタ自動車株式会社は、約5年間にわたり GitHub 上でアクセス・キーが、誤って公開されていたことが判明したことで、顧客の個人情報が流出した可能性があるとして、警告を発している。トヨタ T-Connect は、トヨタ車のオーナーのスマートフォンと、車両のインフォテインメント・システムを連携させ、電話/音楽/ナビ/通知/走行データ/エンジン状態/燃費などの情報を活用するための、公式コネクティビティ・アプリである。
先日にトヨタは、T-Connect サイトのソースコードの一部が誤って GitHub で公開され、その中には、顧客のメールアドレスや管理番号を格納する、データ・サーバへのアクセス・キーも含まれていることを発見した。そのため、GitHub リポジトリへのアクセスが制限された 2017年12月〜2022年9月15日に、不正な第三者が 296,019名分顧客情報にアクセスすることが可能となっていた。
2022年9月17日に、データベース・キーを変更し、不正な第三者からのアクセスの可能性は排除された。今回の発表では、公開されていたデータベースには、顧客名/クレジットカード情報/電話番号などは保存されていなかったことで、漏洩の可能性はないと説明されている。
トヨタ自動車は、今回の問題については開発協力会社のミスであるとしているが、顧客データの誤った取り扱いにという責任を認識し、迷惑をかけしたことを謝罪した。同社は、データ流用の兆候はないが、一連のデータにアクセスした何者かが、それらを盗み出した可能性は否定できないと結論づけている。
トヨタは、「セキュリティ専門家による調査として、顧客のメールアドレスと顧客管理番号が保存されている、データ・サーバのアクセス履歴を検証した。その結果、第三者によるアクセスは確認できなかったが、同時に完全に否定することもできない」と説明している。
そのため、2017年7月〜2022年9月に登録された T-Connect のユーザーは、フィッシング詐欺に注意し、トヨタを名乗る不明な送信者からのメールの、添付ファイルなどを開かないよう推奨されている。
コードの中にパスワードを置き忘れる
この種のセキュリティ・インシデントは、大量の機密データを、漏洩の危険にさらすという深刻な問題にも発展する。2022年9月に Symantec のセキュリティ・アナリストが明らかにしたのは、iOS/Android 向けの約2,000のアプリ・コード内に、ハードコードされた AWS の認証情報が含まれていたことだ。
この種の問題は、開発者の過失によるものである。複数のアプリの反復テストを行う際にコードに認証情報を保存し、アセットの取得/サービスへのアクセス/設定の更新などを、迅速かつ容易にすることが一般的に行われている。
これらの認証情報は、ソフトウェアが実際にデプロイされる時点で削除されるべきだが、残念なことに、T-Connect アプリの事例が示すように、それらが常に削除されるわけではない。
この継続的な問題に対処するために、GitHub は公開されたコード内の秘密をスキャンし、認証キーを含むコードのコミットをブロックすることで、プロジェクトの安全性を高めるようになった。しかし、開発者が非標準のアクセス・キーやカスタム・トークンを使用している場合には、GitHub のデフォルトでは、それらの検出は不可能だ。
パスワード・ハードコードという問題が、何故に起こるのかを、説明してくれる記事です。たしかに、開発とテストのサイクルの中で、毎回のようにパスワードを入力するのでは、なかなか効率が上がらないでしょう。しかし、テスト用のパスワードをハードコードしてしまうと、いつかは必ず、消し忘れというインシデントが生じてしまいます。お隣のキュレーション・チームが、一向に亡くならないパスワード・ハードコードに首を傾げていましたが、このような要因があるのだと、納得していました。文中には、「第三者によるアクセスは確認できなかったが、同時に完全に否定することもできない」と記されていますが、大事に至らないと良いすね。
IoT OT Security News 
You must be logged in to post a comment.