10/11号 ① 自動車用ネットサービスのユーザーメールアドレスが閲覧可能状態

セキュリティニュース

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ニュース概要

-10月7日(日本時間)、トヨタ自動車より、同社製自動車用コネクティッドサービス「T-Connect」一部ユーザーの情報が外部に漏洩した可能性があると発表されました。

– 対象となるのは、2017年7月以降に同サービスのユーザーサイトに登録した296,019件のメールアドレスおよび管理用の番号で、氏名・電話番号・クレジットカード番号等は含まれないとのことです(レクサス車向け「G-Link」「G-Link Lite」および「MyTOYOTA」「My TOYOTA+」アプリについて登録したメールアドレスも対象外とされています)。

– 2017年12月にユーザーサイトの開発委託業者が、データサーバーへのアクセスキー等が含まれたソースコードの一部をソースコード共有サイト「GitHub」に公開状態でアップロードしており、これを閲覧した第三者が外部からサーバーにアクセスし、データを取得することが可能な状態にあったとしています。

– 同社では9月15日に上記の事実を確認、直ちにソースコードを非公開化させ、同17日にアクセスキー変更の対応を行ったとしています。

AUSからの所感

同社では、対象となるメールアドレスの不正利用は現在確認されていないものの、メールアドレスを悪用したなりすまし・フィッシングメール等が送信される可能性があるとして注意を呼び掛けており、例えば今回の件でパスワード変更を要求するメールが届いた場合は間違いなくフィッシングとみて良いでしょう。

GitHubに内部・外部のサーバーやAWS等クラウドサービスのアカウント情報を含んだソースコードがアップロードされる事故は枚挙にいとまがありませんが、単純にGitHub等の利用を禁止することが全てにおいて最良の安全策となるとは限らず、過去に発生した同様のセキュリティ事故の事例をもとに適正なサービスの利用を徹底するよう教育することも重要でしょう。

データサーバーに対しては、アクセスキーの有無に拘わらず、Webサーバー以外の外部ネットワークからも接続が可能になっていたものと推測され、多重防御策として、IPアドレスベースでのアクセス制限等についても可能な限り実施すべきです。