トヨタの「T-Connect」契約者のメールアドレスなど29万件が漏えいの可能性:モビリティサービス
トヨタ自動車は2022年10月7日、コネクテッドサービス「T-Connect」の契約者のメールアドレスやサービス運営に使用する管理番号が漏えいした可能性があると発表した。
トヨタ自動車は2022年10月7日、コネクテッドサービス「T-Connect」の契約者のメールアドレスやサービス運営に使用するユーザー管理番号が漏えいした可能性があると発表した。
漏えいの可能性があるのは29万6019件で、2017年7月以降にT-Connectのユーザー向けWebサイトでメールアドレスを登録した契約者だ。氏名や電話番号、クレジットカードなどその他の情報に関しては漏えいした可能性はなく、T-Connectのサービス自体にも影響はないとしている。
漏えいの可能性のきっかけはサイバー攻撃によるものではなく、GitHub上にT-Connectユーザーサイトのソースコードの一部が公開されていたためだ。2017年12月から2022年9月15日まで、ソースコードの一部に第三者がアクセス可能な状態になっていた。
GitHubで公開されていたソースコードにはデータサーバへのアクセスキーが含まれており、それを利用することでデータサーバに保管されているメールアドレスや管理番号にアクセスできることが判明した。データサーバへのアクセス履歴から第三者によるアクセスは確認できないものの、アクセスはなかったと完全に否定することもできない状況だという。2022年9月15日に当該ソースコードを非公開化し、同月17日にデータサーバのアクセスキー変更などの対応を実施した。二次被害などは確認されていないという。
原因は、T-ConnectのWebサイトを開発委託した企業が取り扱い規則に反して公開設定のままGitHubにアップロードしたことだ。また、トヨタ自動車側でも気付かずに放置されていた格好だ。委託先企業に対し、個人情報の取り扱いに関する管理の徹底やセキュリティ機能強化に向けた取り組みを進めていくという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
自動車メーカーとサプライヤーはどう連携してセキュリティに取り組むべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。目次は下記の通り。
運転をリモート診断して結果に合わせてカスタマイズ、トヨタがサービス実証を開始
トヨタ自動車とKINTOは2022年7月7日、ユーザー一人一人の運転を診断し、その結果に合わせてクルマを進化させる実証を開始すると発表した。同月8日から「アルファード」「ヴェルファイア」のユーザーから参加者を募集する。
自動車部品メーカーにランサムウェアによる不正アクセス、情報流出などの被害はなし
自動車部品メーカーのGMBは2022年3月1日、ランサムウェアとみられる不正なアクセスを受けたと発表した。
小島プレスのシステム障害でトヨタが国内全工場の稼働停止、日野自動車も
日本国内の仕入先で発生したシステム障害の影響を受けて、トヨタ自動車や日野自動車が工場の稼働を停止する。トヨタと日野がそれぞれ2022年2月28日に発表した。トヨタは、内装部品などを手掛ける小島プレス工業でのシステム障害の影響だとしている。
GitHubが車載ソフトのISO26262準拠を支援、ウーブン・プラネットと連携
GitHubは、トヨタ自動車傘下のウーブン・プラネット・ホールディングスとの連携により、コーディング規約であるCERT C++とAUTOSAR C++に準拠した「CodeQL」クエリをリリースしたと発表した。これによって「GitHub Code Scanning」に、自動車向け機能安全規格であるISO 26262に準拠しない記述を警告表示する機能が加わる。
デンソー子会社の自動運転ソフト開発企業、GitHubでコードレビュー時間を半減
ギットハブ・ジャパンは、デンソーの子会社でアイシン精機、アドヴィックス、ジェイテクトも出資する自動運転の統合制御ソフトウェア開発会社J-QuAD DYNAMICS(J-QuAD)が自動運転ECUを開発するソフトウェア開発プラットフォームとして「GitHub Enterprise Cloud」を採用したと発表した。