日産自動車の北米法人Nissan North Americaが開発し、使用しているモバイルアプリや社内ツールのソースコードがオンラインに流出した。同社が使用するGitサーバーの1つに関する設定ミスが原因とみられる。
データ流出の発端となったGitサーバーは、ユーザー名とパスワードがデフォルト設定(admin/admin)となっており、インターネット上で誰もが見られる状態となっていたという。スイス在住のソフトウェアエンジニア、Tillie Kottmann氏が今週、この件について米ZDNetの取材で述べた。
RELEASE: Nissan North America Source Code Dump
— tillie, doer of crime 💛🤍💜🖤 (@antiproprietary) January 4, 2021
A COMPLETE dump of all git repositories from Nissan NA, most notably including sources for:
- the Nissan NA Mobile apps
- some parts of the ASIST diagnostics tool
- the Dealer Business Systems / Dealer Portal
(1/n) pic.twitter.com/ltDvg9blTB
このGitサーバー(Bitbucketインスタンス)は米国時間1月5日にインターネットから遮断されたが、4日の時点ですでに、一連のデータはtorrentのリンクの形でTelegramチャンネルやハッキングフォーラムで出回り始めていたようだ。
Nissan North Americaの広報担当者は、米ZDNetの問い合わせに対してこの件が事実であることを認めた。日産の担当者は米ZDNetに対し、電子メールで「当社の機密情報とソースコードが不適切に公開されたとして報じられている件に関する主張について認識している。当社はこのような問題を深刻にとらえており、調査を実施している」と説明した。
Kottmann氏によれば、同氏らはNissan North AmericaのGitサーバーに関する情報を、匿名の情報筋から受け取ったという。同氏は2020年5月にも、Mercedes BenzのGitLabサーバーで同じような設定ミスがあり、ツールなどのソースコードが入手可能な状態になっていたことを発見している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス