知って得するセキュリティのはなし その208

クラウド環境の設定ミス…顧客情報約215万人分が10年近く公開状態に
1.このニュースをざっくり言うと
- 5月12日(日本時間)、トヨタ自動車より、グループ会社のトヨタコネクティッド社(以下・TC社)に管理を委託していたデータの一部が誤って外部に公開されていたと発表されました。
- 対象となるデータには2012年1月2日~2023年4月17日にT-Connect・G-Link・G-Link Lite・G-BOOKを契約した顧客約215万人分についての車両毎のIDや位置情報等が含まれており、外部に漏洩した可能性があるとされています。
- 2013年11月6日~2023年4月17日にかけて、クラウド環境の設定に誤りがあり、第三者からアクセス可能な状態にあったとのことです。
- この他、TC社の法人向けサービスから収集されたドライブレコーダーによる車外撮影映像についても、2016年11月14日~2023年4月4日にかけて同様に誤って外部からアクセス可能な状態にあったことが発表されています。
2.執筆者からの所感等
- クラウド環境が何だったかの詳細は不明ですが、過去にはAmazon S3や、データベースサーバー「MongoDB」が外部からアクセス可能だったことによる情報流出の事例があり、今回も同様のものと推測されます。
- 同業他社の本田技研工業(Honda)で、2019年7月に分散処理型検索エンジン「Elasticsearch」のデータベースサーバーに設定ミスがあり、社内情報が外部からアクセス可能な状態にあったと発表されていましたが、このときにトヨタにおいても社内で同様の問題がなかったか点検していれば、より早期に発見・解決できていた可能性もあったとみられます。
- Webサーバーと連携するデータベースソフトウェア等については、同じホストで稼働している場合は外部からアクセスされないよう、また別々のホストで稼働している場合も不特定多数からの直接アクセスを遮断するよう、ホスト自身やルーター・UTMのファイアウォール機能で適切なアクセス制限を設定することが肝要です。
- これに加え(別のホストと連携する必要がある場合には特に)、パスワード設定によるアクセス保護を行うことは不可欠ですし、不正アクセスの有無やアクセス元等の分析のため、アクセスログを確実に取得する設定を行うこともまた強く推奨致します。