トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー

トヨタモビリティサービスは、組織で所有する車両の予約や稼働管理が行えるクラウドサービス「Booking Car」の利用者に関する個人情報が外部に流出した可能性があることを明らかにした。委託先がサービス開発前より利用していたクラウドのアクセスキーを悪用されたという。

「Booking Car」は、社用車の管理運用を支援する企業や自治体向けのクラウドサービス。同サービスにおいて顧客のメールアドレスや識別番号などをはじめとするデータを保管していた「AWS S3サーバ」に侵入されたことが2024年2月2日に判明した。

流出した可能性があるのは、2020年11月以降に同サービスを利用し、同サービスの利用画面からメールアドレスを登録した利用者約2万5000人に関する個人情報。外部における情報の流通などは確認されていないが、サーバ内に保管されていたデータを削除されており、外部に流出した可能性もあるという。

対象には、メールアドレス、管理に用いる顧客識別番号をはじめ、登録の際に使用する一時ファイルやログに保存されていた氏名、社員番号、携帯電話番号、予備連絡先、支店の名称、住所、部署、役職、IPアドレス、駐車場場所、記入された行先内容、端末情報のほか、アップロードして保存した顔写真、車両のキズ、設定した車両の画像データなども含まれる。

システムを開発する以前から委託先において設定されていたアクセスキーを用いて侵入されており、2020年10月以降、2024年2月2日にかけてデータサーバ上に保管されているメールアドレスや顧客識別番号にアクセスできる状態だった。

「Booking Car」の開発を委託している企業が、過去のプロダクトを開発する際に使用していたAWSの保存領域を使用し、「Booking Car」の一部の開発を開始していたが、過去の別プロダクト用に設定した「AWS」のアクセスキーを無効化していなかったという。

問題の発覚を受けて、悪用されたアクセスキーを変更。不正アクセスが行われていないか監視などを行っている。

メールアドレスと顧客識別番号が漏洩した可能性のある利用者に対し、登録しているメールアドレスにメールを送付しており、事情を説明するとともに謝罪を行っている。

侵害を受けたデータ保管用のサーバは、「Booking Car」の運用や他サービスとは独立したサーバとしており、他サービスへの影響については否定している。

（Security NEXT - 2024/02/19 ） ツイート

PR

関連記事

「JVN iPedia」の脆弱性登録、2四半期連続で1万件超
「Docker Compose」にパストラバーサル脆弱性 - 修正版を公開
「Firefox」にセキュリティアップデート- UAF脆弱性を修正
資産管理製品「IBM MAS」に深刻な脆弱性 - 修正を強く推奨
製造業向けシステム「DELMIA Apriso」の脆弱性攻撃に注意 - 直近3カ月で3件
オープンスクール申込者の個人情報が閲覧可能に - 群馬の中等教育学校
医療関係者向け講演会案内メールで誤送信、取消機能で再発 - EAファーマ
現金領収帳2冊が所在不明、1冊に個人情報 - 北九州市
韓国関連グループの標的型攻撃が継続 - GitHub悪用でマルウェア展開
小学校教諭が児童情報含むUSBメモリを持ち帰り紛失 - 紀の川市