トヨタ自動車は、2013年11月6日から2023年4月17日までの10年間に、自社のクラウド環境で215万台の顧客の車両位置情報が流出したことを明らかにした。
同社の日本語ニュースルームに掲載されたセキュリティ通知によると、データ侵害はデータベースの設定ミスが原因で、パスワードなしで誰でもそのコンテンツにアクセスできるようになったことが原因だという。
「トヨタ自動車株式会社がトヨタコネクティッド株式会社に管理を委託していたデータの一部が、クラウド環境の設定ミスにより公開されていたことが判明しました」と通知文にある(機械翻訳)。
「本件発覚後、弊社では外部からのアクセスを遮断する措置を講じてまいりましたが、TCが管理する全てのクラウド環境を含めた調査を継続しております。お客様および関係者の皆様には多大なるご迷惑とご心配をおかけし、誠に申し訳ございません。」 」
車の位置情報とビデオが公開される
この事件により、2012年1月2日から2023年4月17日までに同社のT-Connect G-Link、G-Link Lite、またはG-BOOKサービスを利用した顧客の情報が流出した。
T-Connect は、音声アシスタント、カスタマー サービス サポート、車両の状態と管理、路上緊急ヘルプを提供するトヨタの車載スマート サービスです。
誤って構成されたデータベースで公開される情報には、次のものが含まれます。
- 車載用GPSナビゲーション端末のID番号、
- 車台番号、および
- 時刻データを伴う車両位置情報。
データが悪用されたという証拠はありませんが、権限のないユーザーが履歴データにアクセスし、場合によっては 215 万台のトヨタ車のリアルタイムの位置情報にアクセスした可能性があります。
公開された詳細は個人を特定できる情報ではないことに注意することが重要です。そのため、攻撃者がターゲットの車の VIN (車両識別番号) を知っていない限り、このデータ漏洩を利用して個人を追跡することはできません。
車の VIN (シャシー番号とも呼ばれる) には簡単にアクセスできるため、十分な動機があり、ターゲットの車に物理的にアクセスできる人物であれば、理論的には、10 年にわたるデータ漏洩を位置追跡に悪用できた可能性があります。
日本の「トヨタ・コネクテッド」サイトに掲載されたトヨタの2番目の声明では、この事件で車外で撮影されたビデオ録画が流出した可能性についても言及されている。
これらの録音の暴露期間は、2016 年 11 月 14 日から 2023 年 4 月 4 日までと定義されており、これはほぼ 7 年間です。
繰り返しになりますが、これらのビデオが公開されても車の所有者のプライバシーに深刻な影響を与えることはありませんが、これは条件、時間、場所によって異なります。
トヨタは影響を受けた顧客に個別に謝罪通知を送り、問い合わせや要望に対応する専用のコールセンターを設置すると約束した。
2022 年 10 月、トヨタは、公開 GitHub リポジトリ上で T-Connect 顧客データベース アクセス キーが公開されたことに起因する、 別の長期にわたるデータ侵害について顧客に通知しました。
これにより、GitHub リポジトリへの外部からの不正アクセスが制限されていた 2017 年 12 月から 2022 年 9 月 15 日までの間に、不正な第三者が 296,019 人の顧客の詳細にアクセスできるようになりました。
Comments