トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー

トヨタモビリティサービスは、組織で所有する車両の予約や稼働管理が行えるクラウドサービス「Booking Car」の利用者に関する個人情報が外部に流出した可能性があることを明らかにした。委託先がサービス開発前より利用していたクラウドのアクセスキーを悪用されたという。

「Booking Car」は、社用車の管理運用を支援する企業や自治体向けのクラウドサービス。同サービスにおいて顧客のメールアドレスや識別番号などをはじめとするデータを保管していた「AWS S3サーバ」に侵入されたことが2024年2月2日に判明した。

流出した可能性があるのは、2020年11月以降に同サービスを利用し、同サービスの利用画面からメールアドレスを登録した利用者約2万5000人に関する個人情報。外部における情報の流通などは確認されていないが、サーバ内に保管されていたデータを削除されており、外部に流出した可能性もあるという。

対象には、メールアドレス、管理に用いる顧客識別番号をはじめ、登録の際に使用する一時ファイルやログに保存されていた氏名、社員番号、携帯電話番号、予備連絡先、支店の名称、住所、部署、役職、IPアドレス、駐車場場所、記入された行先内容、端末情報のほか、アップロードして保存した顔写真、車両のキズ、設定した車両の画像データなども含まれる。

システムを開発する以前から委託先において設定されていたアクセスキーを用いて侵入されており、2020年10月以降、2024年2月2日にかけてデータサーバ上に保管されているメールアドレスや顧客識別番号にアクセスできる状態だった。

「Booking Car」の開発を委託している企業が、過去のプロダクトを開発する際に使用していたAWSの保存領域を使用し、「Booking Car」の一部の開発を開始していたが、過去の別プロダクト用に設定した「AWS」のアクセスキーを無効化していなかったという。

問題の発覚を受けて、悪用されたアクセスキーを変更。不正アクセスが行われていないか監視などを行っている。

メールアドレスと顧客識別番号が漏洩した可能性のある利用者に対し、登録しているメールアドレスにメールを送付しており、事情を説明するとともに謝罪を行っている。

侵害を受けたデータ保管用のサーバは、「Booking Car」の運用や他サービスとは独立したサーバとしており、他サービスへの影響については否定している。

（Security NEXT - 2024/02/19 ） ツイート

PR

関連記事

フィッシング攻撃支援サブスクの関係者を一斉検挙 - 利用者は約1万人
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「PAN-OS」の脆弱性侵害、段階ごとの対策を説明 - Palo Alto
MS 365アカウントに不正アクセス、個人情報流出の可能性 - セガ子会社
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
バッファロー製ルータに脆弱性 - パスワード取得、コマンド実行のおそれ
米政府、悪用が確認された脆弱性3件について注意喚起
「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生
「Chrome」にアップデート - 「クリティカル」の脆弱性などを解消
記者会見参加応募者の個人情報をメールで誤送信 - 太秦映画村