Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー

トヨタモビリティサービスは、組織で所有する車両の予約や稼働管理が行えるクラウドサービス「Booking Car」の利用者に関する個人情報が外部に流出した可能性があることを明らかにした。委託先がサービス開発前より利用していたクラウドのアクセスキーを悪用されたという。

「Booking Car」は、社用車の管理運用を支援する企業や自治体向けのクラウドサービス。同サービスにおいて顧客のメールアドレスや識別番号などをはじめとするデータを保管していた「AWS S3サーバ」に侵入されたことが2024年2月2日に判明した。

流出した可能性があるのは、2020年11月以降に同サービスを利用し、同サービスの利用画面からメールアドレスを登録した利用者約2万5000人に関する個人情報。外部における情報の流通などは確認されていないが、サーバ内に保管されていたデータを削除されており、外部に流出した可能性もあるという。

対象には、メールアドレス、管理に用いる顧客識別番号をはじめ、登録の際に使用する一時ファイルやログに保存されていた氏名、社員番号、携帯電話番号、予備連絡先、支店の名称、住所、部署、役職、IPアドレス、駐車場場所、記入された行先内容、端末情報のほか、アップロードして保存した顔写真、車両のキズ、設定した車両の画像データなども含まれる。

システムを開発する以前から委託先において設定されていたアクセスキーを用いて侵入されており、2020年10月以降、2024年2月2日にかけてデータサーバ上に保管されているメールアドレスや顧客識別番号にアクセスできる状態だった。

「Booking Car」の開発を委託している企業が、過去のプロダクトを開発する際に使用していたAWSの保存領域を使用し、「Booking Car」の一部の開発を開始していたが、過去の別プロダクト用に設定した「AWS」のアクセスキーを無効化していなかったという。

問題の発覚を受けて、悪用されたアクセスキーを変更。不正アクセスが行われていないか監視などを行っている。

メールアドレスと顧客識別番号が漏洩した可能性のある利用者に対し、登録しているメールアドレスにメールを送付しており、事情を説明するとともに謝罪を行っている。

侵害を受けたデータ保管用のサーバは、「Booking Car」の運用や他サービスとは独立したサーバとしており、他サービスへの影響については否定している。

(Security NEXT - 2024/02/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
先週注目された記事(2024年4月7日〜2024年4月13日)
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
サポート詐欺で患者情報含むPCが遠隔操作できる状態に - 富田林病院
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市
学校で個人情報含む入学関係書類を誤廃棄 - 横須賀市
人材育成プログラム「SecHack365」が応募受付をまもなく開始
フィッシングURLが前月比約84%増 - 使い捨てURLを悪用