別の重大なセキュリティ侵害として、トヨタ自動車株式会社は、アクセス キーが GitHub 上で 5 年近く公開されていた後、誤って個人情報が漏洩した可能性があると顧客に警告しています。
この侵害は、日本の自動車メーカーが最近、自社の「T-Connect」Web サイトのソースコードの一部が誤って GitHub で公開されていたことを発見した後に明らかになりました。
ソースコードには、2017年7月以降にT-Connect Webサイトに登録した顧客の電子メールアドレスと管理番号(自動割り当て)を保存するデータサーバーへのアクセスキーも含まれていた。
よく知らない人のために説明すると、トヨタの T-Connect は、トヨタ車の所有者がスマートフォンやスマートウォッチを使用して車の追跡、ステータスの確認、車の遠隔制御などを行うことができる接続アプリです。
漏れの原因は何ですか?
トヨタによるとによると、2017年12月に「T-Connect」のWebサイト開発下請け会社がトヨタのソースコードの一部をGitHubリポジトリにアップロードし、誤って公開アクセスに設定していた。
開発委託先によるソースコードの不適切な取り扱いにより、2017年12月からトヨタ自動車が情報漏えいを発見した2022年9月15日まで、コードはインターネット上に公開されたままとなった。
発覚後の措置
2022 年 9 月 15 日にデータ侵害を特定した後、トヨタは直ちにソース コードを GitHub で非公開にしました。 2022 年 9 月 17 日、同社は影響を受けるデータ サーバーのアクセス キーを変更し、不正な第三者からのあらゆる潜在的なアクセスを防止しました。
さらに、トヨタはウェブサイト上に、自分のメールアドレスが今回の影響による影響を受けていないか確認できる専用ページを開設した。また、専用のコールセンターを設置し、顧客からの質問や相談に対応している。
調査結果
トヨタでは、第三者がアクセスキーを使用して顧客のメールアドレスや管理番号を保存したサーバーに接続したかどうかは確認できていない。
ただし、名前、電話番号、クレジットカードなどの他の顧客情報は、流出したデータベースに保存されていなかったため、この事件による影響は受けていないとしている。さらに、レクサス車やMyToyotaアプリで使用されているメールアドレスも影響を受けなかった。
同社はすでに、顧客データの誤った取り扱いについて影響を受けた29万6,000人以上の顧客に謝罪文の発送を開始している。
お客様へのご提案
トヨタによると、今回の情報漏洩に関連して個人情報が不正に使用された形跡はないものの、電子メールアドレスを利用した「なりすまし」や「フィッシング詐欺」などのスパムメールが顧客に送信される可能性があるという。
同社は影響を受ける顧客に対し、こうした電子メールや詐欺に常に警戒するようアドバイスしている。
自動車メーカーはまた、不明な送信者から受信した電子メールの添付ファイルを開かないように顧客に推奨し、そのような電子メールは直ちに削除するよう求めています。
また、メールに記載されたアドレス(URL)にアクセスする際は注意するよう呼びかけています。
