トヨタモビリティサービスがAWSアクセスキーの悪用で個人情報漏洩の可能性

2024年2月16日にトヨタモビリティサービスが運営する社用車専用クラウドサービス「Booking Car」の利用者と過去利用していた方の個人情報約2万5000人分が漏洩した可能性があると発表しました。

漏洩した可能性のある個人情報

トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」を利用中、過去利用していた企業・自治体の従業員・職員の方のメールアドレスおよび顧客識別番号約25,000名分

・写真アップロード操作で保存した写真データ（顔写真、車両キズ等）
・車両登録でお客様が設定した車両の画像データ
・ 車両・従業員登録に使用する一時ファイルやログ情報

メールアドレス／予備メールアドレス／社員番号／氏名／氏名フリガナ／携帯電話番号／電話予備連絡先／支店名／支店住所／部署コード／部署名／役職／顔写真画像／IPアドレス／駐車場場所／行先など記入される内容／端末情報
計17項目

個人情報漏洩の経緯

2024年2月2日、「Booking Car」を管理していたAWSのサーバーへ、システム開発以前から使用されていたアクセスキーを用いて、不正に侵入がなされている事実を確認。

社内調査の結果、2020年10月～2024年2月2日までの間、システム開発以前から使用されていたアクセスキーを利用することで、データサーバーに保管されているメールアドレスおよびお客様識別番号にアクセスできることが判明したと発表。

同日、直ちにデータサーバーのアクセスキーの変更および継続的な不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されていないが可能性は否定できないため公表