トヨタ、約10年間約215万人分の車両情報が漏洩。クラウド設定ミスが原因 26
ストーリー by nagazou
漏洩 部門より
漏洩 部門より
トヨタ自動車は12日、関連子会社のトヨタコネクティッド(TC)に管理を委託していた顧客データ約215万人分が漏洩した可能性があると発表した。TCのクラウド環境の誤設定により、一部のデータが10年近くネット上で公開状態になっていたとされる。漏れたとみられるのは2012〜23年に契約した顧客の車両番号や位置情報など。いずれも個人が特定できる内容ではないとし、現時点で悪用は確認されていないとしている(トヨタリリース、ロイター、日経新聞、朝日新聞)。
情報漏洩の対象となったのは、ネットで車の位置を把握したり、異常を検知したりするサービス「ティーコネクト」などを2012年1月~今年4月に契約した顧客。車載機(ナビ端末)ごとに割り振られた識別番号と車両一台ずつに割り当てられた識別番号が漏れていた。今年4月の点検で判明し、外部からのアクセスを遮断する処置を実施したとしている。
情報漏洩の対象となったのは、ネットで車の位置を把握したり、異常を検知したりするサービス「ティーコネクト」などを2012年1月~今年4月に契約した顧客。車載機(ナビ端末)ごとに割り振られた識別番号と車両一台ずつに割り当てられた識別番号が漏れていた。今年4月の点検で判明し、外部からのアクセスを遮断する処置を実施したとしている。
位置情報って (スコア:0)
位置情報が継続的に取得できるのなら、個人特定できると思うのだけど…
個人の名前とかと紐付いてなければ個人情報にならないのかな?
自宅とか職場とか、よく寄る店とか全部抽出できそうだけどね。
Re:位置情報って (スコア:1)
特定できるのは車の位置であって人ではない!
という理屈なのでしょうか
Re: (スコア:0)
これ [it.srad.jp]と組み合わせるともっと特定しやすくなるな。
Re: (スコア:0)
午前3時とかに調べたい住所の近くに存在する車を検索かけて識別番号が割れれば一発でしょうね。
Re: (スコア:0)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-8 [ppc.go.jp]
> 個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しない
Re: (スコア:0)
この手の流出って個人情報に該当しないで済ませても、それに対して何のお咎めもないなら、みんな当然そう言い逃れするよな
別に処罰しろとか言いたいわけじゃなく、ちゃんと事実を説明しないと何を何のために保護すべきかっていう意味がなくなってしまうのが問題
Re: (スコア:0)
運転者か所有者とは限らないから?
それとも、家族構成がわからなければ世帯を特定する情報で、個人情報ではない?
Re: (スコア:0)
車両番号の入手が大変そうだ。
追加 (スコア:0)
外部より閲覧された可能性がある情報 弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像 [toyotaconnected.co.jp]
Re: (スコア:0)
ドライバーは映ってないから個人が特定できる内容ではない。OK!
・・・と言いたいんかな。
毎度思うけど (スコア:0)
"公開状態になっていないこと"を確認するテスト項目は無いのかな
Re:毎度思うけど (スコア:1)
>"公開状態になっていないこと"を確認するテスト項目は無いのかな
そう言うのを専門に請け負うセキュリティ関連業ありそうだけどどうなんすかね
「御社の顧客情報が漏れているかどうかを監視します」とか
調査用ダミーデータ混ぜておいて、それが検出できるかどうか?
Re:毎度思うけど (スコア:1)
>調査用ダミーデータ
こんなデータ [xkcd.com]を入れておいて、世界のどこかから
悲鳴^H^Hニュースが聞こえるのを待つとか?
# ぴえん、じゃなくて迂遠
-- う~ん、バッドノウハウ?
Re: (スコア:0)
自力で見つけたらしいが、そこはすごいね。
Re: (スコア:0)
仕事猫「ヨシ!」
Re: (スコア:0)
ミスがないことを保証しろってのは悪魔の証明なので難しいでしょうね。
そのうちクローズドで動くAIが会社の機密情報を学習して、ネット監視するようになりますよ。
そしたら出口で止められるようになる。
Re: (スコア:0)
外からアクセスできるか、って普通にテストできるでしょ。
認証ないとアクセスできないなら、ない場合アクセスできないこともテストするでしょ。
Re: (スコア:0)
テストしたところ以外に開いてるところがないことは証明できないでしょ
Re: (スコア:0)
なんで1か0かになっちゃうんだ。
大事なのは有効かどうかでしょ。
知人の運転履歴を追跡できるのでは? (スコア:0)
自宅・車庫の場所を知ってるトヨタ車乗ってる知人がいたら、その人の自宅・駐車場の住所に頻繁にいる車を抽出すれば、
高確率で本人の車が判明する
とくに、レクサス購入者は、オプションサービス使ってる人が多そうなので、金持ちの行動履歴が判明する
Re: (スコア:0)
「車台番号(車両一台ずつに割り当てられた識別番号)」というのが所謂VINのことなら、国によっては車外から見える位置に記載されているんじゃなかったっけ?
日産リーフに認証無しでリモート制御できる脆弱性が見つかった [itmedia.co.jp]時に読んだような記憶がある。
Re: (スコア:0)
車台番号は、文字通り「車台」(フレーム)に刻印されてるもの。VINとは別物。車種を示す型式と車種ごとの連番で、一台ずつに割り当てられてる。
刻印場所はたいていはエンジンルームの中で、ボンネットを開けないと分かりません。車台番号知りたかったら車検証見るのが早い
クルマの盗難ランキングTOP10は全部トヨタ (スコア:0)
ってニュース読んだな
https://www.webcartop.jp/2023/03/1079736/ [webcartop.jp]
盗難候補の目星を付けるのに悪用されてたことは、ないのか?あるのか?
Re: (スコア:0)
売れてない車は盗みようがないんですよ。
Re: (スコア:0)
盗難車の多くは輸出され、かつ車は補修部品が手に入らないと使えなくなるので、
世界で売れてる車が狙われる
日本専用規格の部品で作った日本専用車とかがあれば、盗難されにくくなるとおもう
軽自動車がそんな感じ
利用規約みた? (スコア:0)
T-Connect 利用規約みましたけど
トヨタ自動車に故意または重大な過失がなければ
第 12 条で 「契約者、車両利用者または権限受領者に損害・損 失等が発生した場合であっても一切の責任を負いません」 と書いてたし
賠償責任があっても 賠償額は契約するサービスプランの 1 年分相当らしい。
トヨタ自動車は故意または重大な過失がなければ、個人情報取られても、犯罪に使用されても、個人に迷惑がかかろうと、責任とりませんと読み取れる。
契約する方、している方は、質問してみるといいかも