ニュース
トヨタ、T-Connect契約ユーザー29万6019件の情報漏洩の可能性を報告
2022年10月7日 17:41
- 2022年10月7日 発表
履歴からは第三者によるアクセスは確認できない
トヨタ自動車ならびにトヨタコネクティッドは10月7日、両社が提供するコネクティッドサービス「T-Connect」を契約している一部ユーザーの「メールアドレス」および「お客様管理番号」(管理目的で1人1人に割り振っている番号)、29万6019件が漏洩した可能性があると発表した。
対象は2017年7月以降に「T-Connect」のユーザーサイトにて、自身のメールアドレスを登録した人。また、漏洩の可能性のある個人情報は、メールアドレスおよびお客様管理番号となり、氏名、電話番号、クレジットカードなどその他の情報については、漏洩の可能性はなく、T-Connectのサービス自体への影響もないとしている。
また、セキュリティ専門家による調査の結果、お客さまのメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況という。
情報が漏洩した可能性のあるユーザーに対しては、登録しているメールアドレス宛にお詫びとお知らせを送るほか、自身のメールアドレスが今回の対象となっているか確認できる専用フォームをホームページ上に開設。さらにユーザーからの質問や不安などに回答するための専用のコールセンターも設置致している。
なお、レクサス車向け「G-Link/G-Link Lite」および「My TOYOTA/My TOYOTA+」アプリを利用しているメールアドレスは、今回問題となったユーザーサイトとは扱いが異なるため、メールアドレス漏洩の可能性はないという。
流出の可能性が発生した原因と経緯と対応
2017年12月に「T-Connect」ウェブサイト開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしていたことにより、2022年9月15日まで気付かず放置されていた。
2022年9月15日に「T-Connect」のユーザーサイトのソースコードの一部が、GitHub(ソフトウェア開発のプラットフォーム)上に公開されていることを確認。その結果、2017年12月~2022年9月15日まで、第三者がGitHub上にあるソースコードの一部にアクセス可能な状態になっていたという。
同日直ちにGitHub上の当該ソースコードを非公開化し、9月17日にデータサーバーのアクセスキーの変更などの対応を実施し、二次被害などは確認されていない。
トヨタとトヨタコネクティッドは、開発委託先企業におけるソースコードの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客さまの個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めるとしている。
問合せ先
対象メールアドレス確認フォーム:https://www.toyota.co.jp/cmpnform/pub/co/contact-tconnect
「T-Connect」お客様情報相談窓口:0120-406-187(フリーダイヤル、受付時間:平日・土日祝/9時~18時)