トヨタモビリティサービスの2万5千件の個人情報漏洩：過失から機密情報を守るには

事件概要

2024年2月16日にトヨタモビリティサービスは、運営する社用車専用クラウドサービス「Booking Car」の利用者 約25,000人分の個人情報が漏洩した恐れがあると発表しました。^※1

漏えいした情報には、氏名、携帯番号、メールアドレス、住所などが含まれているようですが、クレジットカード情報はシステム内に保持していないために漏洩はないとしています。また漏洩した個人情報の不正利用も確認されていないようです。

トヨタ系列では、2023年にトヨタコネクティッドが管理する200万人を超える個人情報がインターネット上で閲覧可能な状態となっていた事故も発生しました。^※2

別プロダクトのAWSアクセスキーの無効化忘れが原因

この事件は2024年2月2日にAWS上に構築されている「Booking Car」のデータ保管サーバへの不正アクセスがあったことを発見したことで発覚しました。

その後の調査で、本来は無効化するべきだった別のプロダクト用に作成したAWSのアクセスキーが不正に利用されてデータ保管サーバへ不正アクセスを受けていたことが分かりました。この該当のアクセスキーが無効化されずに不正アクセスを許していた期間は、2020年10月から2022年2月2日までの約3年半になります。

後を絶たない過失による情報漏洩

今回の事件は、別プロダクト用のAWSのアクセスキーの不適切な扱いが原因で、3年半の長い期間、不正アクセスが可能な状態となっていました。
また2023年のトヨタコネクティッドの事故では、10年近くの間、個人情報がインターネット上で公開状態になっていました。

今回のようなユーザIDやアクセスキーの不適切な扱いや設定ミスを犯してしまった場合、その過失に気が付くことは非常に難しく、その間は個人情報などの機密情報が危険な状態に置かれることになります。その結果、情報漏洩の脅威に年単位で晒されることとなります。

過失から機密情報を守るには

過失から機密情報を守るには、情報漏洩を根本から対策する必要があります。情報漏洩の根本対策として、暗号化が最も有効です。
情報を暗号化することで、例え情報が漏洩したとしても、暗号化を解読しない限りは読み取ることができずに情報の不正利用を防ぐことができます。

過失は人間である限り完全に防ぐことは難しく、例え二重チェックなどの体制を取ったとしても過失は起こってしまいます。そしてその過失によって、情報漏洩は発生します。
いつ、どこで発生するか分からない過失による情報漏洩を防ぐには、情報を暗号化し、漏洩しても問題が無いように体制を整えることが重要です。

参考

※1 お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて – トヨタモビリティサービス株式会社

※2 クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト