クラウドの設定ミスによりトヨタ自動車で大規模なデータ侵害が発生

アプルヴァ・ヴェンカット著

主席特派員、CSO |

日本の自動車メーカーであるトヨタは、クラウド環境の設定ミスにより約26万件の顧客データがオンラインに流出したと発表した。 日本の顧客だけでなく、アジアやオセアニアの特定の顧客のデータも流出しました。

トヨタは外部からのデータへのアクセスを遮断する措置を講じ、トヨタコネクト（TC）が管理するすべてのクラウド環境も含めて調査を進めている。

トヨタは「お客様および関係者の皆様にご心配とご迷惑をおかけしましたことを心よりお詫び申し上げます」とのコメントを発表した。

調査を受けて自動車メーカーもクラウド環境を監視するシステムを導入した。

トヨタ自動車は「今回の事件も、データ取り扱いルールの周知徹底が不十分なことが原因と考えており、前回の発表以来、クラウド構成を監視するシステムを導入した」と述べた。 現在、すべてのクラウド環境の設定を確認し、継続的に監視するシステムを運用中です。

トヨタは声明で「また、TCと改めて緊密に連携し、データ取り扱いルールの説明と徹底を図る」と述べた。

トヨタはまた、インターネット上にデータの二次利用や第三者によるコピーが残っていた形跡がなかったことを確認した。 トヨタ自動車は「現時点で二次被害は確認されていない」としている。

トヨタ自動車は5月12日、情報漏えいを初めて報告し、「トヨタ自動車がトヨタコネクティッド社に管理を委託していたデータの一部が、クラウド環境の設定ミスにより公開されていたことが判明した」と発表した。と日本語での声明を機械翻訳したところ、

車載機ID、地図データ更新日、更新データ作成日、地図情報とその作成日（車両位置ではない）が外部からアクセスできる可能性がある。

この事件では約26万人の顧客のデータが流出した。 G-BOOK mXまたはG-BOOK mX Pro対応ナビゲーションシステムでG-BOOKをご契約いただいているお客さまと、G-Link／G-Link Lite※1にご契約いただき、2020年9月11日～2021年1月の間にマップオンデマンドサービスを更新された一部のお客さまが対象となります。トヨタによると、２０１５年２月９日と２０２２年３月３１日。

流出した期間は2015年2月9日から2023年5月12日までで、「上記の顧客情報は原則として地図データ配信後短期間でクラウド環境から自動的に削除され、期間中継続的に保存・蓄積されることはない」としている。上記期間」とトヨタは述べた。

情報漏洩の可能性があるお客様には、当社より別途お詫びとご登録メールアドレス宛にお知らせいたします。

トヨタによると、TCが海外販売店のシステム保守やシステム調査のためにクラウド環境で管理しているファイルの一部が、設定ミスにより外部からアクセスできる可能性があったという。

アジアおよびオセアニアの特定の顧客の住所、氏名、電話番号、電子メール アドレス、顧客 ID、車両登録番号、車両識別番号が外部に漏洩した可能性がありました。 このデータは 2016 年 10 月から 2023 年 5 月まで公開されました。

トヨタは「各国の個人情報保護法および関連法規に従い、各国で対応してまいります」としている。

トヨタの顧客データが流出したのは今回が初めてではない。

トヨタは昨年10月、アクセスキーがGitHub上で約5年間公開されていたため、顧客の個人情報が外部に流出した可能性があると報告した。

Toyota T-Connect は、トヨタ車のオーナーが自分のスマートフォンを車のインフォテインメント システムにリンクして、通話、音楽、ナビゲーション、通知統合、走行データ、エンジン ステータス、燃料消費量などを取得できる公式接続アプリです。

T-Connect サイトのソース コードの一部は GitHub で公開されており、顧客の電子メール アドレスと管理番号を保存するデータ サーバーへのアクセス キーが含まれていました。

2017 年 12 月から 2022 年 9 月 15 日までに、296,019 人の顧客の詳細が暴露されました。

Apurva Venkat は、CIO、CSO、および Computerworld のインド版の主任特派員です。

著作権 © 2023 IDG コミュニケーションズ株式会社