Nissan North America data breach caused by vendor-exposed database
2023/01/17 BleepingComputer — Nissan North America は、サードパーティ・プロバイダーにおける情報漏えいを介して、顧客情報の流出が発生したとする通知を開始している。このセキュリティ・インシデントは、2023年1月16日 (月) にメイン州司法長官事務所に報告されたものであり、17,998人の顧客が侵害の影響を受けたことを、Nissan は明らかにしている。Nissan による通知には、2022年6月21日にソフトウェア開発ベンダーの1社から、データ侵害の通知を受けたと記されている。
このサードパーティ・ベンダーは、Nissan から受け取った顧客データを用いて、自動車メーカー向けのソフトウェア・ソリューションの開発/テストを実施していたが、データベースの設定不備により漏えいが発生したという。
Nissan は、このインシデントの発生を受け、漏洩したデータベースの安全性を確保し、社内調査を開始した。そして 2022年9月26日には、不正アクセスを受けた可能性が高いことが判明していた。
この通知には、「調査の結果、2022年9月26日の時点において、このインシデントからデータへの不正アクセス/取得へとつながり、そこに顧客の個人情報が含まれる可能性が高いと判断した。原因は、ソフトウェア・テストの最中に、コード内に埋め込まれたデータが、意図せずしてクラウドベースのパブリック・リポジトリに、一時的に保存されていたことにある」と記されている。
漏洩したデータには、フルネーム/生年月日/NMAC アカウント番号 (Nissan ファイナンス口座) などが含まれる。なお、今回の通知では、漏えいした情報にはクレジットカード情報/社会保障番号は含まれていないと明言している。
Nissan は、現在までのところ、これらの情報が悪用された形跡はなく、慎重を期して通知を出したとしている。また、情報漏えいの通知を受け取った顧客には、Experian の個人情報保護サービスの1年分の会員権が提供される予定だ。
過去の問題
Nissan North America では、2021年1月にも、同様のインシデントが発生している。Git サーバがデフォルトのアクセス認証情報でオンラインに露出し、同社の複数のレポジトリが公開される結果となった。
このインシデントでは、モバイル・アプリや社内ツールのソースコード/市場調査データ/顧客獲得データ/診断データ/NissanConnect サービスの詳細などを含む、20GB のデータが流出した。
また、2022年10月には、Toyota で同様のデータ・セキュリティ・インシデントが発生し、296,019人の顧客の個人情報が流出している。このインシデントは、同社のデータベースへのアクセスキーが入った GitHub のリポジトリが5年間にわたり公開されていたことで発生した。
Nissan をはじめとする自動車会社は、モバイル・アプリ/オンライン・ポータルにおいて、API のセキュリティ対策が不十分であり、アカウントの乗っ取り/機密情報の流出につながる可能性があることが明らかになった。
日本の自動車産業におけるセキュリティ・インシデントですが、2022年は以下のような状況でした。ただし、2023/01/04 の Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘を見ると、こうした問題が、世界の大手全体に広がっている様子がわかります。
2022/07/10:Honda 車両への Rolling-PWN 攻撃とは?
2022/03/30:Mazda のインフォテインメントに発生した障害
2022/03/25:Honda の車両にバグ:ロック解除からエンジン始動まで
2022/03/14:DENSO が Pandora ランサムウェア攻撃に遭遇
2022/02/28:Toyota の国内工場:サイバー攻撃が生じた?
IoT OT Security News 
You must be logged in to post a comment.