Toyota: Car location data of 2 million customers exposed for ten years
2023/05/12 BleepingComputer — トヨタ自動車株式会社のクラウド環境において、2013年11月6日〜2023年4月17日の 10年間にわたり、215万人の顧客の自動車位置情報が流出するという、データ侵害があったことが公表された。トヨタが日本のニュース・ルームで発表した内容によると、このデータ侵害の原因は、データベースのミスコンフィグレーションにあり、誰もがパスワードなしでアクセスできるようになったという。
同社からの通知には、「トヨタ・コネクテッド株式会社 (TC) に管理を委託していたデータの一部が、クラウド環境のミスコンフィグレーションにより漏洩していたことが判明した。本件の発覚後に、外部からのアクセスを遮断する対策を実施し、TC が管理する全てのクラウド環境の調査を、引き続き行っている」と記載されている。
漏洩した車の位置情報と動画
今回のインシデントにより、2012年1月2日〜2023年4月17日の間に、同社の T-Connect G-Link/G-Link Lite/G-BOOK のサービスを利用した顧客の情報が流出した。
T-Connect は、音声アシスト/カスタマー・サービス/車両状態の管理/路上での緊急ヘルプなどを行う、トヨタの車載用スマート・サービスである。
誤設定されたデータベースで露出していた情報は以下の通りだ:
- 車載用 GPS ナビゲーション端末の ID 番号
- シャシー番号
- 車両位置情報 (時刻情報)
データが悪用された形跡はないが、トヨタ自動車 215万台の履歴データ/リアルタイムの位置情報に、悪意の第三者がアクセスした可能性は否定できない。ただし、攻撃者がターゲットの車の車両識別番号 (VIN:Vehicle Identification Number) を知らない限り、このデータ流出を悪用した個人の追跡は不可能である。
車の車体番号はシャシー番号とも呼ばれ、簡単にアクセスできる。そのため、十分な動機とターゲットの車への物理的なアクセスがあれば、理論的には 10年にわたるデータ流出を悪用して、位置情報を追跡できた可能性がある。
さらにトヨタは、車外で撮影されたビデオ録画が、このインシデントで暴露された可能性についても、日本の Toyota Connected サイトに掲載された2つ目の声明で言及している。これらの映像が漏洩していた期間は、2016年11月14日〜2023年4月4日の、ほぼ7年間と見られている。このケースにおいても、これらの映像の漏洩が車の所有者のプライバシーに深刻な影響を与えることはないが、それは条件/時間/場所により異なる。
トヨタは、影響を受ける顧客に個別に謝罪の通知を送り、問い合わせや要望に対応する専用のコールセンターを設置するとしている。同社では 2022年10月にも、長期にわたる別のデータ侵害が発生している。
このインシデントは、T-Connect の顧客データベースのアクセスキーが、GitHub のパブリック・リポジトリに公開されたことに起因するものだ。それが原因となり、GitHub リポジトリへの外部からの不正アクセスが制限されていた、2017年12月〜2022年9月15日の間に、未認証の第三者が 296,019 人の顧客情報にアクセス出来る状態になっていた。
T-Connect に関しては、2022/10/10 の「Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた」という記事もありますので、よろしければ、ご参照ください、また、Toyota で検索も、ご利用いただけます。
IoT OT Security News 
You must be logged in to post a comment.