トヨタ、ユーザーのメールアドレスなど29万件超漏えいの可能性　開発委託先企業がソースコードの一部をGitHubに5年放置

　トヨタ自動車は2022年10月7日、コネクティッドサービス「T-Connect」利用者のメールアドレスと「お客様管理番号」の一部、29万6019件が漏えいした可能性があると発表しました。

　対象者は2017年7月以降、T-Connectのユーザーサイトで自身のメールアドレスを登録した人。氏名、電話番号、クレジットカード番号など、その他の情報が漏えいした可能性はないとしています。

　メールアドレスやお客様管理番号が漏えいした可能性のあるユーザーに対しては、登録済みのメールアドレスに個別におわびとお知らせを送信する予定です。自身のメールアドレスが漏えいの対象となっているか確認できる専用フォームも開設しています。

　原因は2017年12月にT-Connectユーザーサイト開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたため。2022年9月15日までの約5年間、公開状態のまま気付かず放置されていたといいます。

　公開されていたソースコードにはデータサーバーへのアクセスキーが含まれており、それを利用することでデータサーバーに保管されたメールアドレスおよびお客様管理番号にアクセスできる状態となっていました。

　トヨタは9月15日に直ちにGitHub上の当該ソースコードを非公開化し、17日にはデータサーバーのアクセスキーを変更するなど対応を実施しています。

　なお差出人や件名に心当たりのない不審なメールを受信した場合は、添付ファイルを開封せず、メールを消去するよう促しています。

（大泉勝彦）