トヨタコネクティッド、5月に発生したデータ漏えいインシデントの詳細を公表

トヨタコネクティッドはクラウド環境の誤設定によって一部の顧客データが外部からアクセス可能になっていた問題について調査結果を発表した。

[後藤大地，有限会社オングス]

　トヨタコネクティッドは2023年5月31日、同月12日に公表したクラウド環境の誤設定によるデータ漏えいインシデントについて調査結果を発表した。

トヨタコネクティッドはクラウド環境の誤設定によるデータ漏えいインシデントについて調査結果を発表した（出典：トヨタコネクティッドのWebサイト）

6年近く顧客の住所や電話番号などが外部から確認可能だったと判明

　トヨタコネクティッドは、情報漏えいインシデント発生後に同社が管理する全てのクラウドプラットフォームを含めて調査を実施し、顧客情報を含むデータの一部が外部からアクセス可能な状態にあったことが明らかになったと伝えている。

　報告された主な内容は以下の通りだ。

• インシデントの対象地域：アジア、オセアニア（日本は含まれず）
• インシデントの対象期間：2016年10月〜2023年5月
• 外部よりアクセスされた可能性のある顧客情報：住所、氏名、電話番号、電子メールアドレス、顧客ID、車両登録ナンバー、車台番号

　今回の調査によって6年間半ほどにわたって顧客データの一部が外部からアクセス可能な状態になっていたことが明らかになった。

　トヨタコネクティッドはすでにアクセス可能になっていたデータに関しては外部からのアクセスを遮断する措置を実施している。また、クラウド設定を監視するシステムを導入し、同社が利用する全てのクラウドプラットフォームの設定調査および設定状況を継続的に監視する仕組みが稼働していると説明している。

　なお、今回明らかになったデータ漏えいインシデントに関しては第三者による二次利用などの悪用は確認されていないという。