クラウド環境の設定ミス…顧客情報約215万人分が10年近く公開状態に

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 5/16号 目次 –

01. クラウド環境の設定ミス…顧客情報約215万人分が10年近く公開状態に


02. WordPressプラグイン「MW WP Form」「Snow Monkey Forms」に脆弱性、アップデートを


03. 文化庁Web資料で漫画海賊版サイトへのリンク…マスク下の情報削除されず

クラウド環境の設定ミス…顧客情報約215万人分が10年近く公開状態に

– 5月12日(日本時間)、トヨタ自動車より、グループ会社のトヨタコネクティッド社(以下・TC社)に管理を委託していたデータの一部が誤って外部に公開されていたと発表されました。

– 対象となるデータには2012年1月2日~2023年4月17日にT-Connect・G-Link・G-Link Lite・G-BOOKを契約した顧客約215万人分についての車両毎のIDや位置情報等が含まれており、外部に漏洩した可能性があるとされています。

– 2013年11月6日~2023年4月17日にかけて、クラウド環境の設定に誤りがあり、第三者からアクセス可能な状態にあったとのことです。

– この他、TC社の法人向けサービスから収集されたドライブレコーダーによる車外撮影映像についても、2016年11月14日~2023年4月4日にかけて同様に誤って外部からアクセス可能な状態にあったことが発表されています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2305/12/news166.html
https://global.toyota/jp/newsroom/corporate/39174380.html

AUS便りからの所感 AUS便りからの所感

クラウド環境が何だったかの詳細は不明ですが、過去にはAmazon S3や、データベースサーバー「MongoDB」が外部からアクセス可能だったことによる情報流出の事例があり、今回も同様のものと推測されます。

同業他社の本田技研工業で、2019年7月に分散処理型検索エンジン「Elasticsearch」のデータベースサーバーに設定ミスがあり、社内情報が外部からアクセス可能な状態にあったと発表されていましたが、このときにトヨタにおいても社内で同様の問題がなかったか点検していれば、より早期に発見・解決できていた可能性もあったとみられます。

Webサーバーと連携するデータベースソフトウェア等については、同じホストで稼働している場合は外部からアクセスされないよう、また別々のホストで稼働している場合も不特定多数からの直接アクセスを遮断するよう、ホスト自身やルーター・UTMのファイアウォール機能で適切なアクセス制限を設定することが肝要です。

これに加え、パスワード設定によるアクセス保護を行うことは不可欠ですし、不正アクセスの有無やアクセス元等の分析のため、アクセスログを確実に取得する設定を行うこともまた強く推奨致します。

WordPressプラグイン「MW WP Form」「Snow Monkey Forms」に脆弱性、アップデートを

– 5月8日(日本時間)、WordPressプラグイン「MW WP Form」「Snow Monkey Forms」の開発元より、各プラグインに脆弱性が確認されたと発表されました(5月15日にはIPA・JPCERT/CCからも注意喚起が出されています)。

– 脆弱性は「MW WP Form」バージョン4.4.2以前、「Snow Monkey Forms」バージョン5.0.6以前に存在し、悪用により、Webサーバー上への不正なファイルのアップロード・Webサイト改ざん・DoS攻撃・機微情報の窃取等が行われる可能性があるとされています。

– 脆弱性を修正した「MW WP Form」バージョン4.4.3(現在の最新は4.4.4)、「Snow Monkey Forms」バージョン5.0.7がリリースされています。

[ 出典 ]
https://jvn.jp/jp/JVN01093915/index.html
https://plugins.2inc.org/mw-wp-form/blog/2023/05/08/752/
https://snow-monkey.2inc.org/2023/04/28/snow-monkey-forms-v5-0-7/

AUS便りからの所感 AUS便りからの所感

「MW WP Form」は問合せフォーム作成のためのプラグイン、「Snow Monkey Forms」はその後継で、いずれも日本発のプラグインとして人気があります。

脆弱性にはいわゆる「ディレクトリトラバーサル」と言われるものが含まれており、Webアプリケーションが本来アクセスするディレクトリの外部にあるファイルの参照等が可能になる、古典的ながら危険度の高い脆弱性です。

WordPress本体にも、機能拡張のため提供される数多くのプラグインにもしばしば脆弱性が報告されており、最初にサイトを構築してから、本体およびプラグインをアップデートしないままにしているのは非常に危険なため、管理者において定期的に管理画面へのログインを行い、本体・プラグインおよびテーマにおいてアップデートがリリースされていないか確認し、それぞれを最新バージョンに保つこと、またセキュリティ機能を提供するプラグインを導入することが肝要です。

文化庁Web資料で漫画海賊版サイトへのリンク…マスク下の情報削除されず

– 5月16日(日本時間)、産経新聞より、「文化庁のサイトで、漫画をインターネット上に無断公開した海賊版サイトのURLが誤って半年以上、公開されていた」と報じられています。

– 2022年8月開催の教職員向け著作権講習会で使用された資料に、海賊版サイトへの日本国内からのアクセス上位10位に関するページが含まれており、サイト名とURLがマスクされていたものの、カーソルを合わせるとリンクが有効になっており、海賊版サイトにアクセス可能な状態となっていたとのことです。

– SNS上で話題になっていたとされ、同16日朝に当該資料は削除されたとのことです。

[ 出典 ]
https://www.sankei.com/article/20230516-MEHDOEVAR5NM3O44HQZX25FKJE/

AUS便りからの所感 AUS便りからの所感

Office文書(Word・Excel・PowerPoint)やPDF文書をWeb上で公開した際等に、非公開とすべき情報に黒塗り処理を行ったものの、隠れていた部分がコピー&ペースト可能だったという事例は過去にも多数報告されています。

マスキングされた箇所についてはその下の部分についてもテキストレベルからの修正・削除を行い、貼り付けられている画像へのマスクについても可能な限り画像データの方を修正して差し替えることが重要であり、またその状態でデータのコピー&ペーストや検索ができないかのチェックを行うべきです。

今回の事例では、講習会資料とはいえ、サイトのURL、ひいてはサイト名についても掲載すべきだったか疑問が残るところで、情報を不必要に公開・掲載しないことはそれだけでも十分なセキュリティ対策と言えます。