TOYOTA サプライヤー・ポータルに侵入:機密データへのアクセス方法を研究者が報告

Researcher breaches Toyota supplier portal with info on 14,000 partners

2023/02/07 BleepingComputer — トヨタ自動車の Global Supplier Preparation Information Management System (GSPIMS) が、セキュリティ研究者により侵入され、その結果が同社に報告されたことが明らかになった。 GSPIMS は、従業員やサプライヤーがリモートでログインし、トヨタのグローバル・サプライチェーンを管理する、自動車メーカーのための Web アプリケーションである。この研究者が、EatonWorks というペンネームで発表したのは、トヨタのシステムに存在するバックドアの発見と、電子メールさえ知っていれば、誰もが既存のユーザー・アカウントにアクセスできるという現状である。

この研究者がテスト的に侵入したところ、数千の機密文書/内部プロジェクト/サプライヤー情報などに、自由にアクセスできることが判明した。この問題は、2022年11月3日にトヨタに対して適切に開示され、2022年11月23日までに修正されたことが確認されている。

EatonWorks は、90日間の開示プロセスが経過した時点で、今回の発見に関する詳細なドキュメントを公開した。なお、トヨタ自動車は、発見された脆弱性を開示した研究者に対して、補償を行っていないという。

トヨタ自動車への侵入

トヨタの GSPIMS アプリは、Angular JavaScript フレームワークで構築されており、特定のルートと関数を用いて、それぞれのユーザーに許可される、それぞれのページへのアクセス権を決定していた。研究者は、これらの関数の JavaScript を変更し、”True” の値を返すようにすることで、アプリへのアクセスが可能になることを発見した。

Patching the Angular functions
Patching the Angular functions (EatonWorks)

しかし、アプリはロードされたが、そのアプリが研究者を認証していないため、データは一切表示されなかった。続いて研究者は、このサービスではユーザーのメールアドレスに基づき、パスワード不要のログイン用 JSON Web Token (JWT) が生成されることを発見した。つまり、トヨタ自動車の従業員の有効なメールアドレスを推測できれば、有効な JWT を生成できるのだ。

Acquiring a valid JWT
Acquiring a valid JWT (EatonWorks)

トヨタの社員への検索や、LinkedIn での OSINT を行うだけで、それらのメール・アドレスを見つけ出し、形成したりすることが可能だが、この研究者が侵入のために取った経路は、地域の管理者アカウントを見つけることだった。

そこから、EatonWorks は、システムの API における情報漏洩の欠陥を利用し、システム管理者アカウントにエスカレートさせた。続いて、システム管理者の電子メールアドレスを見つけ出し、それを使用することで、より特権的なアカウントへの切り替えが可能になったという。

機密文書へのフルアクセス

GSPIMS のシステム管理者に付与された権限を用いれば、機密文書/プロジェクト・スケジュール/サプライヤー・ランキング/14,000社のユーザー・データなどの、機密情報へのアクセスが可能になる。

つまり、管理者の権限を得ることで、それぞれのユーザーのプロジェクト/タスク/調査へのアクセスに加えて、詳細情報の変更/データの修正と削除/バックドア・ユーザーの追 加といった、ターゲット・フィッシング・キャンペーンのための地ならしが可能になる。

Internal Toyota documents
Internal Toyota documents (EatonWorks)

この攻撃の最も厄介な点は、悪意の脅威アクターが、トヨタのシステムに静かにアクセスし、何も変更せずにデータをコピーできるため、発見の可能性が非常に低いというところにある。

そのようなことが、すでに生じていた可能性については判断できないが、トヨタには大規模なデータ流出は起きていないため、このログイン・バイパスの欠陥を最初に見つけたのは EatonWorks だと推測される。

今回の情報公開は、この1年間に相次いで発見された、情報漏洩/データ流出などに続くものだ。2022年2月にトヨタは、サプライヤーの1つである小島工業へのサイバー攻撃により、自動車生産業務の停止を余儀なくされたと発表している。2022年10月には、公式コネクティビティ・アプリ Toyota T-Connect の開発委託先が、顧客データも含まれている GitHub リポジトリを公開したことで、トヨタの顧客データが漏洩した。

2023年1月には、あるセキュリティ研究者が、トヨタを含む複数の自動車メーカーに影響を及ぼす、複数の API セキュリティ欠陥の詳細を公表し、所有者の情報が流出する可能性があることを明らかにしている。

API の脆弱性から、完全侵入へと至る経路が開かれていたのですね。2023/01/04 の「Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘」では、日本のメーカーとして Honda/Infiniti/Nissan/Acura/Toyota なども欠陥の存在を挙げられていましたが、まだまだ問題が残っていそうな感じもします。よろしければ、2021/10/30 の「コネクテッドカーのインフラ:サイバー犯罪者が狙う格好の標的になる」も、ご参照ください。

%d bloggers like this: