はじめに
インド最大の自動車メーカーであり、グローバル産業の主要プレーヤーであるタタ・モーターズが、複数のセキュリティ欠陥により70テラバイトを超える機密情報を流出させる大規模なデータ漏洩に見舞われました。2023年に発覚したこの漏洩は、公開ウェブサイト上でのAWS認証情報の露出、容易に復号される暗号化キー、認証不要なTableauバックドア、そしてフリート管理システムからの保護されていないAPIキーといった脆弱性が複合的に絡み合って発生しました。
複数の脆弱性が招いた大規模漏洩
これらの脆弱性はそれぞれが深刻なリスクを抱えていましたが、複合することで、攻撃者が顧客データベース、財務記録、請求書データ、数十年にわたるフリート情報、および重要な管理システムにアクセスできる「完璧な嵐」を作り出しました。この事態は、大手企業であっても基本的なセキュリティミスを犯しうることを浮き彫りにしています。
E-DukaanプラットフォームでのAWS認証情報漏洩
最初の重大な脆弱性は、タタ・モーターズのスペアパーツeコマースプラットフォームであるE-Dukaanで発見されました。セキュリティ研究者たちは、ウェブサイトのソースコードに平文のAWSアクセスキーがハードコードされていることを発見しました。これらの認証情報は、顧客データベースの完全なバックアップ、市場インテリジェンスレポート、個人識別情報を含む数十万件の請求書、約40ギガバイトの管理注文レポートなど、驚くべき量の機密データを含むAmazon S3バケットへの無制限のアクセスを許可していました。このキーはわずか4キロバイトの税コードファイルをダウンロードするために使用されており、極めて小さな運用上の利益のために巨大なセキュリティリスクを招いていた点が特に問題視されています。
FleetEdgeにおける暗号化の誤解
フリート管理プラットフォームであるFleetEdgeには、一見すると暗号化されているように見える2組目のAWS認証情報が含まれていました。これは開発者がE-Dukaanの過ちから学んだかのように見えましたが、暗号化はクライアントサイドのみで行われており、基本的な技術知識を持つ者であれば誰でも数秒でキーを抽出し、復号できる状態でした。これは、暗号化されたデータと復号キーが同じシステム上に存在する場合、クライアントサイド暗号化が意味のあるセキュリティを提供しないという危険な誤解を示しています。露出した認証情報は、単一のバケットに保存された約70テラバイトのデータ(1996年まで遡る過去のフリートインテリジェンスデータを含む)へのアクセスを許可していました。また、複数のウェブサイトへの書き込みアクセスも可能であり、攻撃者がマルウェアを注入する機会を生み出していました。
Tableauの認証バイパスの深刻な問題
E-Dukaanプラットフォームには、ソースコードのコメントにハードコードされたTableau認証情報が含まれていましたが、より重大なのは、開発者が欠陥のある認証システムを実装していたことです。脆弱なコードは、ユーザー名とサイト名のみを使用して「信頼されたトークン」を取得することを可能にし、パスワード要件を完全にバイパスしていました。セキュリティ研究者たちは、サーバー管理者を含む任意のユーザーになりすますことができることを実証し、無数の内部プロジェクト、財務レポート、ディーラー固有の情報を含むTableauダッシュボードを完全に制御できる状態でした。この認証バイパスは、ウェブサイトのソースコードにアクセスできる個人であれば、必ずしも正規のユーザーでなくても管理者になれることを意味していました。
テストドライブ管理システムからのAPIキー漏洩
テストドライブ管理システムは、JavaScriptソースコードにハードコードされたAzuga APIキーに依存していました。この露出した認証情報は、フリート管理プラットフォームへの直接アクセスを許可し、許可されていない個人が車両の位置を追跡し、テストドライブの運用をリアルタイムで監視できる可能性がありました。この脆弱性は、開発者がクライアントサイドコードを機密認証情報の安全な場所として扱っているという広範なパターンを浮き彫りにしました。
遅延した対応と教訓
これらのセキュリティ問題は、2023年8月8日にインドのコンピュータ緊急対応チーム(CERT-IN)を通じてタタ・モーターズに報告されましたが、その後の対応は著しく遅延しました。タタ・モーターズは受領を認め、9月1日までに修正を完了したと主張しましたが、その後の検証では、4つの問題のうち2つしか対処されておらず、AWSキーは両方のウェブサイトで依然としてアクティブなままでした。具体的な修正手順を明確にするための数ヶ月にわたるやり取りの後、同社が露出した認証情報を完全に失効させたのは2024年1月になってからでした。これらの脆弱性は、大手国際企業であっても、認証情報のハードコーディング、無意味なクライアントサイド暗号化、深刻な論理的欠陥を持つ認証システムの導入といった基本的なセキュリティミスに陥る可能性があることを示しました。タタ・モーターズの車両を購入する顧客にとって、これらの漏洩は、主要な自動車組織におけるデータ保護基準について深刻な疑問を投げかけるものとなりました。