トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセスキー無効化忘れ

[ITmedia]

　トヨタモビリティサービスは2月16日、社用車専用クラウドサービス「Booking Car」ユーザーのメールアドレスや氏名、顔写真など約2万5000人分が漏えいした可能性があると発表した。

　同サービスのデータを保管している「Amazon Web Services S3」（AWS）の領域で、過去の別プロダクトに用に設定していたAWSアクセスキーを無効化し忘れており、このアクセスキーを使えば顧客のメアドなどにアクセス可能だったことが判明したという。

　漏えいした可能性があるのは、サービス開始当初の2020年10月から、問題発覚の2024年2月2日までに登録した企業・自治体の従業員・職員のメールアドレスと、顧客一人一人に割り振られた識別番号。

　顔写真、車両キズ、車両の画像など顧客がアップロードした写真データ、メアド、氏名、電話番号、支店名、支店住所、部署名、役職、顔写真、IPアドレス、駐車場場所、行先なども漏えいした可能性があるという。

　Booking Car開発にあたり、委託先企業が過去のプロダクト開発に使っていたAWS保存領域を利用したが、別プロダクト用に設定していたAWSアクセスキーを無効化や消去していなかったという。

　このアクセスキーを使い、顧客のメアドと識別番号が保管されているデータサーバーに不正アクセスがあったことが2月2日に判明。保管データの削除が行われたことが分かったという。アクセスキーは同日中に変更した。

　再発防止に向け、セキュリティ機能の強化に向けた取組みを進めるとしている。