トヨタが大量流出させた可能性があるユーザーのメアド情報

2022年10月7日付けの「IT media News」が、トヨタ自動車が、7日に、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」が漏洩した（最大29万6019件）可能性があると発表したことを報じていました。

記事によれば、（※筆者が一部編集）

◆漏洩の可能性は、2017年7月以降にT-Connectユーザーサイトに登録した人

◆漏洩は、メールアドレス等で、氏名、電話番号、カード番号などの漏洩の可能性はない

◆漏洩原因は、2017年12月に開発委託先が、公開設定のままGitHubにアップした

◆開発委託先は、トヨタのデータ取り扱い規則に反していた

◆その後、5年にわたって第三者がソースコードの一部にアクセスできる状態だった

◆ソースコードにはデータサーバへのアクセスキーが含まれている

◆サーバには、メールアドレスやお客様管理番号があり、アクセスキーでアクセスできる

◆トヨタは9月15日にGitHub上のソースコードを非公開化

◆9月17日に、データサーバのアクセスキーを変更した

とのことです。

つまり、整理すると、

・T- Connectの開発業者が、公開設定のままGitHubにソースコードをアップした

・開発業者とトヨタは、5年以上、公開設定であることを気づかなかった

・トヨタは、ソースコードを非公開化して、アクセスキーを変更した

・現状、ユーザーからの被害の届けはない

ということです。

一般論ですが、製造を下請けした場合は、トヨタは、しっかりとその製造成果物（例：自動車部品）を検査する体制が整っていると思います。

しかし、「ソースコードが5年間公開設定のまま気づかなかった」というのは、システム開発業者の管理体制、トヨタの開発業者選定の仕組み、トヨタの開発業者の業務監視の仕組み等に改善の余地があるということです。

T- Connect について、詳しい技術的なことはわかりませんが、ユーザー目線で考えると、「非公開設定にしなかった」という設定ミスは、基本中の基本だし、「データサーバへのアクセスキーをリポジトリに上げる」と言うこと自体が、開発業者の力量不足ではないかと思います。

「非公開/公開」設定を誤るだけで、「データサーバにアクセスできる」というのは、超リスクなわけで、「天下のトヨタ」が、情報セキュリティに関するリスクアセスメントがされていないはずがありません。

仮に、リスクアセスメントができていなかったら、「トヨタの技術力は落ちた」と言わざるをえないでしょう。

今回漏洩した情報は「たかだかメールアドレス」とは言えないかもしれません。

トヨタユーザーのメアドですから、「詐欺まがいの営業」をしようとする業者は、トヨタ自動車や関連会社になりすましたメールでフィッシング詐欺を狙うかもしれません。

私のアドレスにもクレジットカード会社、ネット大手通販会社、家電量販店の通販部門、旅行サイト、JR各社のサイトなどになりすました「フィッシングメール」は、日々、大量に送られてきます。

まったく、利用したことがない会社であれば、スルーしますが、これらの「なりすまし」は、利用経験があるだけに、「思わずメールを開封してしまいがち」です。

つまり、「トヨタ」（なりすまし）からメールが届けば、開封してしまい、詐欺に巻き込まれる可能性は高いでしょう。

話題は少し変りますが、弊社のHPのお問い合わせフォームを通じて、ここ最近、「毎分1通」ペースで迷惑メール（おそらく発信元はロシア）が送られてくるようになりました。

メールの受信フォルダは、あっという間に迷惑メールであふれ、仕事にならないので、reCAPTCHA（リキャプチャ）機能（Google社が提供する認証システムで、ボット（自動化されたプログラム）による悪質なアクセスから守る仕組み）をHPに施し、ようやく迷惑メールは止まりました。

20年ぐらい前は、「たかが迷惑メール」という感覚が、私の中ではありましたが、敵は巧妙なので、うっかり誤操作すると、ストレスでしかなく、大量に情報を取得する企業は、しっかりと管理してほしいものです。

（※　自分を変える“気づき”ロジカル・シンキングのススメ　メルマガ824号より）

【好評発売中！】

『事例で学ぶコンプライアンスⅠ』

（トータルEメディア出版）

『できるビジネスマンのマネジメント本』

（玄武書房）

【よかったらメルマガ読者登録お願いします♪】↓
（パソコンでアクセスしている方）