トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー

トヨタモビリティサービスは、組織で所有する車両の予約や稼働管理が行えるクラウドサービス「Booking Car」の利用者に関する個人情報が外部に流出した可能性があることを明らかにした。委託先がサービス開発前より利用していたクラウドのアクセスキーを悪用されたという。

「Booking Car」は、社用車の管理運用を支援する企業や自治体向けのクラウドサービス。同サービスにおいて顧客のメールアドレスや識別番号などをはじめとするデータを保管していた「AWS S3サーバ」に侵入されたことが2024年2月2日に判明した。

流出した可能性があるのは、2020年11月以降に同サービスを利用し、同サービスの利用画面からメールアドレスを登録した利用者約2万5000人に関する個人情報。外部における情報の流通などは確認されていないが、サーバ内に保管されていたデータを削除されており、外部に流出した可能性もあるという。

対象には、メールアドレス、管理に用いる顧客識別番号をはじめ、登録の際に使用する一時ファイルやログに保存されていた氏名、社員番号、携帯電話番号、予備連絡先、支店の名称、住所、部署、役職、IPアドレス、駐車場場所、記入された行先内容、端末情報のほか、アップロードして保存した顔写真、車両のキズ、設定した車両の画像データなども含まれる。

システムを開発する以前から委託先において設定されていたアクセスキーを用いて侵入されており、2020年10月以降、2024年2月2日にかけてデータサーバ上に保管されているメールアドレスや顧客識別番号にアクセスできる状態だった。

「Booking Car」の開発を委託している企業が、過去のプロダクトを開発する際に使用していたAWSの保存領域を使用し、「Booking Car」の一部の開発を開始していたが、過去の別プロダクト用に設定した「AWS」のアクセスキーを無効化していなかったという。

問題の発覚を受けて、悪用されたアクセスキーを変更。不正アクセスが行われていないか監視などを行っている。

メールアドレスと顧客識別番号が漏洩した可能性のある利用者に対し、登録しているメールアドレスにメールを送付しており、事情を説明するとともに謝罪を行っている。

侵害を受けたデータ保管用のサーバは、「Booking Car」の運用や他サービスとは独立したサーバとしており、他サービスへの影響については否定している。

（Security NEXT - 2024/02/19 ） ツイート

PR

関連記事

Acronisのデータバックアップ用インフラ製品に深刻な脆弱性 - すでに悪用も
CrowdStrikeによる障害、約850万台に影響 - あらたな復旧方法も準備中
組込システムの検証テストツール「NI VeriStand」に複数脆弱性
SonicWall、「Blast-RADIUS」の緩和策でアドバイザリ
「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開
「BIND 9」の脆弱性、関連機関がアップデートを強く推奨
オンラインショップ侵害され、詳細を調査 - 京都の料亭
顧客向けDMを一部紛失 - 京葉ガスサービスショップ運営会社
複数公民館でメール誤送信、宛先とBCCにメアド入力 - 神戸市
「Telerik Report Server」に深刻な脆弱性 - 最新版へ更新を