フォルクスワーゲンの自動車ソフトウェア会社Cariadが、約80万台の電気自動車から収集したデータを暴露した。その情報はドライバーの名前にリンクされ、車両の正確な位置を明らかにすることができた。
アマゾンのクラウドストレージにある何テラバイトものフォルクスワーゲンの顧客情報が何カ月も保護されないままだったため、技術的な知識がほとんどない人でもドライバーの動きを追跡したり、個人情報を収集したりすることができた。
公開されたデータベースには、VW、Seat、Audi、Skodaの車両の詳細が含まれており、一部の車両のジオロケーションデータは数センチメートルの精度があった。
正確なジオロケーションデータ
自動車データへのアクセスは、Cariad社が2つのITアプリケーションで誤った設定を行っていたために可能であったと、同社の担当者は語った。
カリアドは11月26日、30年以上にわたってセキュリティ、プライバシー、情報への自由なアクセスを推進してきたヨーロッパ最大の倫理的ハッカー組織であるカオス・コンピュータ・クラブ(CCC)からこの問題を知らされた。
ドイツの『シュピーゲル』誌によると、CCCは内部告発者からこの脆弱性を知り、安全でないアクセスをテストした後、カリアド社とフォルクスワーゲン社に報告し、技術的な詳細を提供したという。
Cariad社の担当者は、「暴露されたデータは、インターネットに接続され、オンラインサービスに登録された車両にのみ影響した」と述べている。
公開された約80万台の車両から、研究者は46万台分のジオロケーションデータを発見した。
シュピーゲル誌によれば、30台強の車両はハンブルク警察のパトロールカーの一部であり、他の車両は諜報機関の容疑者のものだったという。
同社によれば、CCCのハッカーたちは、かなりの時間と技術的専門知識を必要とするいくつかのセキュリティ・メカニズムを回避して初めてデータにアクセスできたという。
さらに、個々の車両データはプライバシーのために仮名化されていたため、ハッカーたちは、詳細を特定のユーザーに関連付けるために、異なるデータセットを組み合わせる必要があった。
しかし、シュピーゲル誌はIT専門家とジャーナリストからなるチームを結成し、自由に利用できるソフトウェアを使用して、ナジャ・ヴァイペルトとマルクス・グリューベルという2人のドイツ人政治家の車から収集した位置情報の詳細を発見した。
このツールは、機密情報を含むファイルを含む公開されたCariadの資産を検索し、Cariadの内部アプリケーションのメモリダンプのコピーを見つけることにつながった。
メモリーダンプの中からハッカーたちは、Cariadがフォルクスワーゲン・グループの顧客車両から収集したデータを保存しているアマゾンのクラウドストレージ・インスタンスへのアクセスキーを発見した。
Spiegel誌によると、いくつかのデータポイントは、電気モーターをオフにしたときの車の経度と緯度の位置を参照していた。
「VWのモデルとシートの場合、このジオデータは10センチメートル以内、アウディとスコダは10キロメートル以内の正確さであった。
30万台の被害車両のほとんどはドイツにあったが、ノルウェー(80,000台)、スウェーデン(68,000台)、イギリス(63,000台)、オランダ(61,000台)、フランス(53,000台)、ベルギー(68,000台)、デンマーク(35,000台)でも発見された。
責任ある情報公開後の迅速な修正
Cariad社は、同社のセキュリティ・チームが問題を修正するために迅速に対応し、CCCが報告書を送ったその日にアクセスを閉鎖したと語った。
CCCの担当者はシュピーゲルの取材に対し、カリアドの「技術チームが迅速、徹底的かつ責任を持って対応した」こと、そして同社が技術的な詳細を受け取ってから数時間以内に対応したことを認めた。
調査の結果、Cariad社は、CCCのハッカー以外の第三者が暴露された車両データにアクセスしたことを示唆する証拠や、その情報が第三者によって悪用されたことを示唆する証拠はないという。
同社はまた、CCCがアクセスできたのは車両から収集したデータだけで、車両そのものにはアクセスできなかったと強調している。
Cariad社によれば、フォルクスワーゲン・グループ・ブランドの顧客は、個人データの処理を必要とする製品やサービスの利用に同意することができ、いつでもそのオプションを解除することができるという。
しかし、同社は、車両から収集されたデータは、顧客のための「デジタル機能の提供、開発、改善」に役立つだけでなく、付加的なメリットも生み出すと指摘している。
「このデータがなければ、スマートでデジタルなパーソナライズされた機能を提供したり、最適化したり、拡張したりすることはできない」-カリアド社
一例として同社は、顧客の充電行動や習慣は匿名化され、将来のバッテリー世代や充電ソフトウェアの最適化に役立つと説明している。
同時に、収集されたデータはクラウドに保存され、顧客の身元と車両との移動が保護される。
「フォルクスワーゲン・グループの各ブランドは、法的規制と既存の契約関係、正当な利益、または顧客からの明示的な同意の枠内でのみ、個人データを収集、保存、送信、使用します」とCariad社は述べている。
また、この自動車用ソフトウェア会社は、データポイントの個別保管、アクセス権の制限、仮名化、匿名化、データの集計と目的の範囲内での処理など、強力なデータ保護慣行を採用しているという。
Comments