概要
インドの自動車大手タタ・モーターズは、同社および顧客の機密データを露呈する一連のセキュリティ欠陥を修正したことを確認しました。これらの脆弱性は、同社の内部データ、顧客の個人情報、企業レポート、およびディーラー関連データに影響を与えていました。
発見された脆弱性の詳細
セキュリティ研究者のイートン・ズベア氏は、タタ・モーターズの商用車スペアパーツ向けeコマースポータル「E-Dukaan」ユニットでこれらの欠陥を発見しました。ズベア氏によると、ポータルのウェブソースコードには、タタ・モーターズのAmazon Web Services (AWS) アカウントへのアクセスおよびデータ変更を可能にするプライベートキーが含まれていました。
露呈したデータには、以下のような広範な情報が含まれていました:
- 顧客の氏名、郵送先住所、インド政府発行の永続口座番号(PAN)を含む数十万件の請求書。
- MySQLデータベースのバックアップおよびApache Parquetファイルに含まれる様々な顧客情報と通信データ。
- タタ・モーターズのフリート追跡ソフトウェア「FleetEdge」に関連する70テラバイト以上のデータへのAWSキーを介したアクセス。
- 8,000人以上のユーザーデータを含むTableauアカウントへのバックドア管理者アクセス。
- 同社の試乗ウェブサイトを運営するフリート管理プラットフォーム「Azuga」へのAPIアクセス。
ズベア氏は、タタ・モーターズに大規模なデータ流出を引き起こさないよう、大量のデータを抜き取ろうとはしなかったと述べています。
対応と企業の声明
ズベア氏は問題を発見した後、2023年8月にインドのコンピュータ緊急対応チーム(CERT-In)を通じてタタ・モーターズに報告しました。タタ・モーターズは2023年10月に、初期の抜け穴を確保した後、AWSの問題の修正に取り組んでいるとズベア氏に伝えました。同社は、すべての報告された欠陥が2023年中に修正されたことをTechCrunchに確認しましたが、影響を受けた顧客に情報漏洩を通知したかどうかについては言及しませんでした。
タタ・モーターズの広報責任者であるスディープ・バラ氏は、「報告された欠陥と脆弱性は2023年に特定された後、徹底的にレビューされ、迅速かつ完全に修正されました」と述べました。また、「当社のインフラは主要なサイバーセキュリティ企業によって定期的に監査されており、不正な活動を監視するための包括的なアクセスログを維持しています。また、セキュリティ体制を強化し、潜在的なリスクをタイムリーに軽減するために、業界の専門家やセキュリティ研究者と積極的に協力しています」と付け加えました。
セキュリティ対策の重要性
今回の事例は、企業が顧客データや内部情報を保護するために、継続的なセキュリティ監査と迅速な脆弱性対応がいかに重要であるかを浮き彫りにしています。特に、クラウドサービスへのアクセスキーやデータベースのバックアップなど、機密性の高い情報が露呈した場合の影響は甚大であり、厳格な管理体制が求められます。