Toyota finds more misconfigured servers leaking customer info
2023/05/31 BleepingComputer — トヨタ自動車が新たに発見した、クラウドサービスにおける2件のミスコンフィグレーションは、7年以上にわたって自動車所有者の個人情報を流出させてきたものだった。以前にもトヨタ自動車は、200万人以上の顧客の位置情報を、10年間にわたり流出させるという、サーバのミスコンフィグレーションを発見している。そして、トヨタコネクテッド株式会社が管理する、すべてのクラウド環境について徹底的な調査を実施した結果として、今回の発見が得られた。
トヨタからの最新の通知には、「トヨタコネクテッド (TC) が管理する、すべてのクラウド環境について調査を行ったところ、顧客情報を含むデータの一部が、外部からアクセスされる可能性があることが判明した」と記されている。
クラウド・サービスにおける最初の問題では、2016年10月〜2023年5月の間に、アジア/オセアニアの顧客の個人情報が流出した。
本来であれば、販売店やサービス事業者からのアクセスに限定されているはずのデータベースが一般に公開され、以下の顧客情報が流出した:
- 住所
- 氏名
- 電話番号
- 電子メールアドレス
- お客様ID
- 車両登録番号
- 車両識別番号(VIN)
トヨタは、この流出により影響を受けた顧客の人数を明らかにしていない。
2つ目のクラウド・インシデントでは、2015年2月9日〜2023年5月12日の間に公開された、ナビゲーション・システムに関連する機密性の低いデータが流出した。このデータには、日本国内の約26万台の車載機 ID (ナビゲーション端末)/地図データの更新情報、データ作成日が含まれていたが、車両の位置情報は含まれないとされる。
そして、今回の流出だが、2015年2月9日〜2022年3月31日の間に、G-BOOK mX/G-BOOK mX Pro で G-BOOK ナビゲーション・システムを契約した顧客、および、G-Link/G-Link Lite を契約し、トヨタのオンデマンド・サービスで地図を更新した一部の顧客に影響するという。
影響を受けるのは、トヨタのサブブランドである Lexus 車種であり、2009年〜2015年にかけて販売された、LS/GS/HS/IS/ISF/ISC/LFA/SC/CT/RX が含まれる。
トヨタによると、入力されたデータは、一定の時間が経過するとクラウド環境から自動的に削除されるため、常時公開されるデータ量は、限られたものだったとのことだ。
トヨタは、それらのデータが外部からアクセスされたとしても、顧客に関する識別情報の推測や、車両のシステムへのアクセスは不可能だとしている。
トヨタは、今後において、このような流出を防ぐため、すべての環境におけるクラウドやデータベースのコンフィグレーションを、定期的に監視するためのシステムを導入したとしている。
トヨタで、クラウドのミスコンフィグレーションが続いていますが、積極的に情報を廃自する姿勢に拍手を送りたいと思います。おそらく、さまざまな自動車メーカーで発生しているインシデントだと思いますが、ユーザーを第一に考えるなら、このような対応になるはずです。ちょっと畑違いのトピックですが、2023/02/10 の「ICS の脆弱性 2022年:Siemens が突出している理由を正しく理解する」を思い出しました。よろしければ、2023/01/04 の「Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.