トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー
トヨタモビリティサービスは、組織で所有する車両の予約や稼働管理が行えるクラウドサービス「Booking Car」の利用者に関する個人情報が外部に流出した可能性があることを明らかにした。委託先がサービス開発前より利用していたクラウドのアクセスキーを悪用されたという。
「Booking Car」は、社用車の管理運用を支援する企業や自治体向けのクラウドサービス。同サービスにおいて顧客のメールアドレスや識別番号などをはじめとするデータを保管していた「AWS S3サーバ」に侵入されたことが2024年2月2日に判明した。
流出した可能性があるのは、2020年11月以降に同サービスを利用し、同サービスの利用画面からメールアドレスを登録した利用者約2万5000人に関する個人情報。外部における情報の流通などは確認されていないが、サーバ内に保管されていたデータを削除されており、外部に流出した可能性もあるという。
対象には、メールアドレス、管理に用いる顧客識別番号をはじめ、登録の際に使用する一時ファイルやログに保存されていた氏名、社員番号、携帯電話番号、予備連絡先、支店の名称、住所、部署、役職、IPアドレス、駐車場場所、記入された行先内容、端末情報のほか、アップロードして保存した顔写真、車両のキズ、設定した車両の画像データなども含まれる。
システムを開発する以前から委託先において設定されていたアクセスキーを用いて侵入されており、2020年10月以降、2024年2月2日にかけてデータサーバ上に保管されているメールアドレスや顧客識別番号にアクセスできる状態だった。
「Booking Car」の開発を委託している企業が、過去のプロダクトを開発する際に使用していたAWSの保存領域を使用し、「Booking Car」の一部の開発を開始していたが、過去の別プロダクト用に設定した「AWS」のアクセスキーを無効化していなかったという。
問題の発覚を受けて、悪用されたアクセスキーを変更。不正アクセスが行われていないか監視などを行っている。
メールアドレスと顧客識別番号が漏洩した可能性のある利用者に対し、登録しているメールアドレスにメールを送付しており、事情を説明するとともに謝罪を行っている。
侵害を受けたデータ保管用のサーバは、「Booking Car」の運用や他サービスとは独立したサーバとしており、他サービスへの影響については否定している。
(Security NEXT - 2024/02/19 )
ツイート
関連リンク
PR
関連記事
支援学校で通学バス乗車名簿を紛失 - 大阪府
フォームで設定ミス、学生の個人情報が閲覧可能に - 近大
ランサム被害、従業員の個人情報流出の可能性 - 浪速ポンプ製作所
海外グループ会社に不正アクセス、詳細は調査中 - ユアサ商事
医師が私物PCを盗難、内部に患者の個人情報 - 慶大病院
「セキュリティ・キャンプアワード2025」 - 学会発表の旅費支援も
「Splunk Enterprise」に複数の脆弱性 - アップデートで解消
Apple、「iPhone」などスマートデバイス向けにセキュリティ更新
Synology製「Media Server」にファイルを読み取られる脆弱性
「macOS」の脆弱性を修正するセキュリティアップデート - Apple