FordやGM、Teslaなどの情報も露呈、rsyncの設定不備で誰にでもアクセスできる状態に
工業オートメーションなどのサービスを手掛けるLevel One Roboticsのサーバで、FordやGMなどの自動車大手を含む100社以上の企業の情報が、誰にでもアクセスできる状態になっていた。
米セキュリティ企業のUpGuardは2018年7月20日、FordやGeneral Motors(GM)、Chrysler、Teslaといった自動車メーカーを含む100社以上の製造ラインなどの重要情報が、こうしたメーカーにサービスを提供しているロボティクス企業のサーバで、誰にでもアクセスできる状態になっているのを発見したと発表した。
UpGuardのブログによると、この問題は、工業オートメーションや組み立てなどのサービスを専門とするLevel One Roboticsのサーバで見つかった。
このサーバで露呈されていたデータは157GBにも上り、自動車メーカーなどの組み立てラインの図面や工場の見取り図、ロボットの構成や説明書といった情報の他、身分証明書の申請フォームやVPNアクセスの申請フォーム、秘密保持契約書なども含まれていたという。
さらには、Level One Roboticsの従業員の運転免許証やパスポートといった個人情報、請求書などの情報も露呈されていた。
原因は、大量データのバックアップに使われるファイル転送プロトコル「rsync」の設定にあったとUpGuardは指摘している。Level One Roboticsのrsyncサーバは、IPやユーザーによる制限がかけられておらず、どんなrsyncクライアントからもデータをダウンロードできてしまう状態だったという。
UpGuardは2018年7月1日に問題のrsyncサーバを発見して、9日にLevel One Roboticsに連絡を取り、10日には問題が解決されたと伝えている。
rsyncについてUpGuardは「どんなツールでもそうであるように、rsyncサービスを制限するための適切な措置を講じなければ、安全でない状態で使われかねない」と警鐘を鳴らしている。
関連記事
- 情報流出のコスト増大、平均386万ドル――IBMが調査
IBMの年次調査によると、個人情報などの流出に関連して企業が負担した総コストは世界平均で386万ドル。日本は7番目に多かった。 - 英家電チェーン店で決済カード情報流出、590万件に影響
英Dixons Carphoneが欧州で展開する家電店や旅行代理店の決済処理システムで、590万件の決済カード情報と120万件の個人情報に関する不正アクセス事案が発覚した。 - Webサービスの世界では、もはや情報漏えいは避けられない?
そんな世界で身を守る方法とは。 - OnePlusのサイトから4万人のクレジットカード情報流出、カード不正利用の報告も
中国のスマートフォンメーカー「OnePlus」のシステムが攻撃されて、決済ページに不正なスクリプトが仕込まれ、ユーザーが入力したクレジットカード情報が盗まれていたことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.