トヨタ、個人情報29万件以上漏えいか 委託先企業がGitHubにソースコード公開

[ITmedia]

　トヨタ自動車は10月7日、顧客のメールアドレスと「お客様管理番号」について、29万6019件が漏えいした可能性があると発表した。同社とトヨタコネクティッドが提供するコネクティッドサービス「T-Connect」のユーザーサイトで、2017年7月以降にメールアドレスを登録した顧客が対象となる。

トヨタ自動車が提供するコネクティッドサービス「T-Connect」

　漏えいの可能性のある個人情報は、メールアドレスとお客様管理番号のみ。氏名、電話番号、クレジットカードなどその他の情報については、漏えいの可能性はないという。「T-Connect」のサービス自体への影響もない。

　セキュリティ専門家による調査の結果、顧客のメールアドレスとお客様管理番号が保管されているデータサーバのアクセス履歴からは、第三者によるアクセスは確認できないという。だが、「完全には否定できない状況となっている」（トヨタ広報）とプレスリリースには記載されている。

　情報が漏えいした可能性のある顧客には、登録したメールアドレス宛に、本日より、お詫（わ）びとお知らせを個別に送る。加えて、自身のメールアドレスが、今回の対象となっているかを確認できる専用フォームをWebサイト上に用意した。専用のコールセンターも設置している。

　なお、レクサス車向け「G-Link／G-Link Lite」「MyTOYOTA／My TOYOTA+」アプリを利用した時のメールアドレスは、今回問題となったユーザーサイトとは扱いが異なるため、漏えいの可能性はないという。

経緯と対応

　今回の経緯としてトヨタは以下のように説明している。

　9月15日、「T-Connect」のユーザーサイトのソースコード（コンピュータの処理を記述したテキスト文）の一部が、GitHub（ソフトウェア開発のプラットフォーム）上に公開されていることを確認した。その結果、2017年12月〜22年9月15日まで、第三者がGitHub上にあるソースコードの一部にアクセス可能な状態になっていたことが判明したという。

　公開されていたソースコードには、データサーバへのアクセスキーが含まれており、それを利用することで、データサーバに保管されているメールアドレスとお客様管理番号にアクセスできることが分かった。同社は直ちにGitHub上の当該ソースコードを非公開化し、9月17日にデータサーバのアクセスキーの変更などの対応を実施したという。二次被害などは確認されていない。

流出の可能性が発生した原因

　発生原因については以下のように説明している。

　17年12月、「T-Connect」Webサイト開発委託先企業が、取り扱い規則に反し、ソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたことが原因だったという。しかし22年9月15日まで、公開設定のままアップロードしたことに気付かず放置されたままとなっていた。

　トヨタは「開発委託先企業におけるソースコードの不適切な取り扱いが原因であり、委託元企業として、あらためて委託先企業とともに、顧客の個人情報取り扱いに関する管理の徹底、セキュリティ機能の強化に向けた取り組みを進めていく」という。

トヨタ自動車のプレスリリース