タタ・モーターズ AWS 漏洩問題の全貌解説

みなさん、こんにちは。今回はインドの大手自動車メーカー、タタ・モーターズで発見されたセキュリティの問題についてお話しします。

タタ・モーターズのセキュリティ脆弱性が発覚

インドのタタ・モーターズは、社内の重要なデータが外部に漏れる可能性のある複数のセキュリティ上の欠陥を修正しました。これには顧客の個人情報や会社の報告書、販売店に関するデータなどが含まれていました。

この問題はセキュリティ研究者のイートン・ズヴィアレ氏が、タタ・モーターズの商用車向けスペアパーツを販売するオンラインポータル「E-Dukaan」で発見しました。ズヴィアレ氏によると、ウェブサイトのソースコードにAmazon Web Services（AWS）へのアクセスキーが含まれており、これを使って大量の内部データにアクセスできる状態だったそうです。

漏洩の内容と影響範囲

漏洩したデータには、顧客の名前や住所、インド政府発行の固有識別番号であるPAN番号を含む数十万件の請求書が含まれていました。また、MySQLのデータベースバックアップや顧客とのやり取りの記録も含まれていたとのことです。

さらに、AWSのキーを使うことで、タタ・モーターズの車両追跡ソフト「FleetEdge」に関する70テラバイト以上のデータや、8,000人以上のユーザー情報が含まれる管理用のTableauアカウントにもアクセスできたと報告されています。

研究者は大量のデータを持ち出すような行動は控えたと述べており、あくまで問題の存在を示すための調査だったようです。

対応と今後の課題

この問題は2023年8月にインドのコンピュータ緊急対応チーム（CERT-In）を通じてタタ・モーターズに報告されました。10月には同社が修正作業を進めていることが伝えられ、最終的に2023年中に全ての脆弱性が解消されたとタタ・モーターズはTechCrunchに回答しています。

ただし、顧客に対して情報漏洩の可能性について通知があったかどうかは明らかにされていません。同社は定期的にサイバーセキュリティの監査を受けており、専門家や研究者と協力してリスクの早期発見と対策に努めていると説明しています。

今回の件は大手企業でも意外な形でセキュリティの穴が見つかることを示しており、Web3や仮想通貨の世界でもセキュリティ意識の重要性を改めて感じさせますね。引き続きウォッチしていきたいですね！