パスワードを忘れた? アカウント作成
16589804 story
情報漏洩

トヨタ、約10年間約215万人分の車両情報が漏洩。クラウド設定ミスが原因 26

ストーリー by nagazou
漏洩 部門より
トヨタ自動車は12日、関連子会社のトヨタコネクティッド(TC)に管理を委託していた顧客データ約215万人分が漏洩した可能性があると発表した。TCのクラウド環境の誤設定により、一部のデータが10年近くネット上で公開状態になっていたとされる。漏れたとみられるのは2012〜23年に契約した顧客の車両番号や位置情報など。いずれも個人が特定できる内容ではないとし、現時点で悪用は確認されていないとしている(トヨタリリースロイター日経新聞朝日新聞)。

情報漏洩の対象となったのは、ネットで車の位置を把握したり、異常を検知したりするサービス「ティーコネクト」などを2012年1月~今年4月に契約した顧客。車載機(ナビ端末)ごとに割り振られた識別番号と車両一台ずつに割り当てられた識別番号が漏れていた。今年4月の点検で判明し、外部からのアクセスを遮断する処置を実施したとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年05月16日 12時05分 (#4460785)

    位置情報が継続的に取得できるのなら、個人特定できると思うのだけど…
    個人の名前とかと紐付いてなければ個人情報にならないのかな?
    自宅とか職場とか、よく寄る店とか全部抽出できそうだけどね。

    • by Anonymous Coward on 2023年05月16日 12時45分 (#4460807)

      特定できるのは車の位置であって人ではない!
      という理屈なのでしょうか

      親コメント
    • by Anonymous Coward

      これ [it.srad.jp]と組み合わせるともっと特定しやすくなるな。

    • by Anonymous Coward

      午前3時とかに調べたい住所の近くに存在する車を検索かけて識別番号が割れれば一発でしょうね。

    • by Anonymous Coward

      https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-8 [ppc.go.jp]

      > 個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しない

      • by Anonymous Coward

        この手の流出って個人情報に該当しないで済ませても、それに対して何のお咎めもないなら、みんな当然そう言い逃れするよな

        別に処罰しろとか言いたいわけじゃなく、ちゃんと事実を説明しないと何を何のために保護すべきかっていう意味がなくなってしまうのが問題

    • by Anonymous Coward

      運転者か所有者とは限らないから?

      それとも、家族構成がわからなければ世帯を特定する情報で、個人情報ではない?

    • by Anonymous Coward

      車両番号の入手が大変そうだ。

    • by Anonymous Coward

      ドライバーは映ってないから個人が特定できる内容ではない。OK!
      ・・・と言いたいんかな。

  • by Anonymous Coward on 2023年05月16日 12時49分 (#4460809)

    "公開状態になっていないこと"を確認するテスト項目は無いのかな

    • by nemui4 (20313) on 2023年05月16日 13時11分 (#4460827) 日記

      >"公開状態になっていないこと"を確認するテスト項目は無いのかな

      そう言うのを専門に請け負うセキュリティ関連業ありそうだけどどうなんすかね

      「御社の顧客情報が漏れているかどうかを監視します」とか
      調査用ダミーデータ混ぜておいて、それが検出できるかどうか?

      親コメント
    • by Anonymous Coward

      仕事猫「ヨシ!」

    • by Anonymous Coward

      ミスがないことを保証しろってのは悪魔の証明なので難しいでしょうね。
      そのうちクローズドで動くAIが会社の機密情報を学習して、ネット監視するようになりますよ。
      そしたら出口で止められるようになる。

      • by Anonymous Coward

        外からアクセスできるか、って普通にテストできるでしょ。
        認証ないとアクセスできないなら、ない場合アクセスできないこともテストするでしょ。

        • by Anonymous Coward

          テストしたところ以外に開いてるところがないことは証明できないでしょ

          • by Anonymous Coward

            なんで1か0かになっちゃうんだ。
            大事なのは有効かどうかでしょ。

  • by Anonymous Coward on 2023年05月16日 14時05分 (#4460872)

    自宅・車庫の場所を知ってるトヨタ車乗ってる知人がいたら、その人の自宅・駐車場の住所に頻繁にいる車を抽出すれば、
    高確率で本人の車が判明する

    とくに、レクサス購入者は、オプションサービス使ってる人が多そうなので、金持ちの行動履歴が判明する

    • by Anonymous Coward

      「車台番号(車両一台ずつに割り当てられた識別番号)」というのが所謂VINのことなら、国によっては車外から見える位置に記載されているんじゃなかったっけ?
      日産リーフに認証無しでリモート制御できる脆弱性が見つかった [itmedia.co.jp]時に読んだような記憶がある。

      • by Anonymous Coward

        車台番号は、文字通り「車台」(フレーム)に刻印されてるもの。VINとは別物。車種を示す型式と車種ごとの連番で、一台ずつに割り当てられてる。
        刻印場所はたいていはエンジンルームの中で、ボンネットを開けないと分かりません。車台番号知りたかったら車検証見るのが早い

  • by Anonymous Coward on 2023年05月16日 16時30分 (#4460984)

    ってニュース読んだな
    https://www.webcartop.jp/2023/03/1079736/ [webcartop.jp]

    盗難候補の目星を付けるのに悪用されてたことは、ないのか?あるのか?

    • by Anonymous Coward

      売れてない車は盗みようがないんですよ。

    • by Anonymous Coward

      盗難車の多くは輸出され、かつ車は補修部品が手に入らないと使えなくなるので、
      世界で売れてる車が狙われる

      日本専用規格の部品で作った日本専用車とかがあれば、盗難されにくくなるとおもう
      軽自動車がそんな感じ

  • by Anonymous Coward on 2023年05月17日 0時55分 (#4461268)

    T-Connect 利用規約みましたけど
    トヨタ自動車に故意または重大な過失がなければ
    第 12 条で 「契約者、車両利用者または権限受領者に損害・損 失等が発生した場合であっても一切の責任を負いません」 と書いてたし
    賠償責任があっても 賠償額は契約するサービスプランの 1 年分相当らしい。

    トヨタ自動車は故意または重大な過失がなければ、個人情報取られても、犯罪に使用されても、個人に迷惑がかかろうと、責任とりませんと読み取れる。
    契約する方、している方は、質問してみるといいかも

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...