ホンダの機器類を販売する e コマース・サイトに脆弱性:甚大な被害が発生する可能性があった

Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data

2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、3月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。


ホンダは自動車で有名であるが、Zveare が分析した eコマースプラット・フォームは、ホンダの電力機器 (発電機/ポンプ/芝刈機) や、ボートエンジン、付属品の販売向けに設計されている。

このプラットフォームは、ホンダ製品を販売するディーラーが、Web ウサイトを作成する際に利用するサービス Honda Dealer Sites を支えるものだ。それぞれの販売店はアカウントを作成する必要があり、その後に、Web サイトの作成/宣伝/製品注文の処理に必要な、すべてのツールが提供される仕組みになっている。

Eaton Zveare が発見したのは、管理者ダッシュボードに存在するパスワード・リセット API の脆弱性であり、Honda が設定したテスト・アカウントのパスワード・リセットが可能だったという。その結果として、テスト・アカウントへのアクセスが可能になり、さらに、IDOR (insecure direct object references) の脆弱性が発見された。具体的に言うと、管理画面の URL で ID の値を変更するだけで、すべての販売店のデータにアクセスできるようになっていた。

また、ディーラー管理画面のダッシュボードから、特別に細工されたリクエストを送信することで、ホンダの従業員のみが使用できるプラットフォーム全体の、管理者権限への昇格も可能になった。この管理パネルでは、サブスクリプションで得た金額などの、ディーラー・ネットワークの概要を確認することができた。

Zveare は、2016年〜2023年の期間における 21,000件以上の顧客の注文情報にアクセスし、そこに含まれる名前/住所/電話番号/商品のデータなどを入手したという。また、この脆弱性を悪用する攻撃者が、変更した可能性のある 1,500件のディーラー・サイトが公開された。

さらに、パスワード変更が可能だった 3,500件以上のディーラー・アカウントおよび、1,000件ほどのディーラー・メールアドレス、11,000件の顧客メールアドレスも、Zveare は発見した。 また、PayPal/Stripe/Authorize.net などの決済サービスに対して。一部の販売店が提供する秘密鍵の入手も可能だったようだ。

Zveare は、「21,000 件以上の顧客からの注文にアクセスすることで、顧客の貴重なデータを騙しとることや。デバイスにマルウェアをインストールさせる、高度なターゲット・フィッシング・キャンペーンも可能だった。もう1つの可能性は、毎日のようにホンダへの新たな注文をチェックし、『新しいホンダ製品を登録してください』または『クレジットカード番号を間違って入力されたので修正してください』といった、偽装フィッシング・メールを顧客に送ることだったろう」と、ブログ記事に書いている。

さらに、彼は、「私が考え得る最も大きな問題は、ディーラー・サイトへのアクセスである。アクティブなサイトは 1,000 件以上もあるため、クリプト・マイナーやクレジットカード・スキマーなどの悪意のコードが、密かに追加された可能性もある。鋭いディーラーであるなら、そのようなサイトの変更を発見する可能性もあるが、彼らは自分自身がハッキングされたと決めつけ、ディーラーア・カウントのパスワードを変更するだろう。しかし、残念なことに、どのディーラーであっても、この攻撃から自分の店を守るためにできることは何もなかった」と付け加えている。

今年の初めに Zveare は、トヨタの CRM (customer relationship management) プラットフォームで脆弱性を発見している。この欠陥の悪用に成功した攻撃者は、メキシコの顧客の個人情報にアクセスできた可能性があることを報告している。

このところの、自動車産業に関するインシデント・レポートを見ていると、日本のメーカーにおけるクラウド・ミスコンフィグレーションが目立っているように思えます。そして、今日の記事のベースになっている、Eaton Zveare (EatonWorks) さんの研究活動により、トヨタの Global Supplier Preparation Information Management System (GSPIMS) や、Toyota Customer 360 のバグが発見されているようです。よろしければ、カテゴリ Transportation も、ご利用ください。