トヨタ、29万件以上の顧客情報が漏えいした可能性

トヨタのメインサービスを受託している企業で、こういった管理体制の不備があることには、さすがに驚きです。本番サービスへのアクセスキーを含んだソースコードをGithubで公開してしまい、実際に攻撃を受けた事例は過去にいくつも指摘されているので、それらを教訓に開発現場におけるセキュリティ管理体制を見直した企業も多いと聞いていますが、本ケースではそうではなかったということなのでしょう。

トヨタ側の感覚としては、当然ながらサービス自体のセキュリティテストはしているはずなので、今回の部分は委託先の責任ということになるのでしょうが、結果の影響度を考えると、今後はセキュリティテストの際に、開発環境のクロージングも含めないといけないという話になりかねませんね。

漏洩していた場合、サービスユーザー側には、「T-Connect」を偽装したフィッシングメールなどが来る可能性はあります。「T-Connect」には車種と駐車位置のGPSを確認する機能があるので、大げさに言えば今流行りのランドクルーザー窃盗団が置き場を知るために悪用する、といったことも可能性としてはありえるので、リアルへの被害が発生し得る事案と言えます。

「公開設定のまま情報をアップロード」…人の手と頭がデジタルに正しく司令を出せなかった。ヒューマンエラーです。

いつもアナログとデジタルの接続点に、エラーリスクがある気がします。たくさんの設定項目があるアップロード作業とか特に。

デジタル推奨派ですが、もう少しユーザーフレンドリーなUIなら上手く合わせられるのにと思うことがあります。