ホンダ社員の個人情報を含む1億3400万件ものデータがクラウド上でダダ漏れ状態にあったことが発覚

by Dan Burton

本田技研工業(ホンダ)が社内で使用しているElasticsearchデータベースが、特別な認証なしでアクセスできる状態でホストされていることをCloudflareで働くJustinさんが発見しました。

Honda leaks database with employee computer data
https://rainbowtabl.es/2019/07/31/honda-motor-company-leak/

Justinさんが発見したのは、ホンダが社内ネットワークで使用するデータベース。データベース内に保持されているデータは、「ホンダの内部機器目録のようなもののようです」とJustinさんは記しています。データベースにはマシンのホスト名、MACアドレス、IPアドレス、OSバージョン、適用されたパッチ、エンドポイントセキュリティソフトウェアのステータスなどの情報が含まれていたとのこと。なお、Justinさんは問題を発見したのちホンダに連絡し、セキュリティチームが既に問題を解決済みであるため、記事作成時点ではデータベースへのアクセスは不可能になっています。

しかし、2019年7月1日の時点ではデータベースに誰でもアクセスできる状態となっていたそうです。当初、ホンダへの連絡手段がなかったそうですが、JustinさんがTwitter上で助けを求めたところ、何人かの親切な人の手助けを借りることができ、7月6日にホンダのセキュリティチームに連絡することに成功しました。

データベース上には約1億3400万件分のデータが保管されており、データ量は40GBにものぼるものだったそうです。

データベースには2019年3月13日から7月1日までのデータが保管されていたとのこと。

保管されているデータを日付順に並べると、毎日約4万件のデータがデータベース上に追加されていることが判明。また、2019年3月中旬にはデータ量が異常に急増していたそうです。データが2019年3月13日のものからしか存在しないという点から、Elasticsearchデータベースの運用が始まったのが2019年3月で、初期のデータロードの影響でデータ量が急増したのではないかとJustinさんは推測しています。

データべース上には日本を含む複数の事業所で働く従業員に関するデータが保管されており、「Empty string」と表示されているのが日本の従業員に関するデータだったそうです。データベース上の約28.6％に相当します。

データベース上に保管されていたデータの一部を、Justinさんは黒塗りを施したスクリーンショット付きで公開しています。

「ad_com_all」というインデックスに保管されていたデータには、従業員名、ホスト名、OSの種類、OSバージョンが含まれていたとのこと。このインデックス上で更新されるデータは1サイクル当たり約30万件。

「ad_user_all」というインデックスには、従業員のメールアドレス、従業員の氏名、前回ログイン情報、従業員番号、アカウント名、およびモバイルフィールドが含まれていたとのこと。このインデックスも更新されるデータは1サイクル当たり約30万件です。

「comterminal」というインデックスには、従業員のメール、部署、マシンのIPアドレス、MACアドレス、ホスト名、OS、マシンの種類、エンドポイントセキュリティの状態、適用されたWindows製品の更新プログラム(KB)に関する情報が含まれていた模様。1度の更新で追加されるデータは約4万件。

「nwcomteminal_data」というインデックスには、マシンのIPアドレス、MACアドレス、ホスト名、KB情報が含まれていた模様。

「dhcp_data」というインデックスにはデバイスの管理タグ、MACアドレスが含まれていたとのこと。ここには管理スタッフと推定できるユーザー名が含まれていたとのこと。

「printer_data」というインデックスにはプリンター名と内部のIPアドレスが含まれています。更新ごとに約2500件のデータが追加。

エンドポイントセキュリティテーブルの情報はほとんど黒塗りで隠されており、その理由は「エンドポイントセキュリティベンダーが誰か明確になるため」とJustinさん。このテーブルには従業員のユーザー名と、従業員が使用する端末のエンドポイントセキュリティステータスが含まれているとのこと。なお、更新ごとに約9万件のデータが追加されるとのこと。

「uncontrolledmachine」というインデックスには、エンドポイントセキュリティソフトウェアで監視されていないマシンのホスト名とOS情報を合理的に推測できるようにするための情報が含まれているとのこと。いくつかのユーザー名も含まれており、1度の更新で約3000件のデータが追加されるそうです。

さらに、データベース内にはホンダのCEOが使用するPCに関する情報も含まれています。ここで閲覧できるのはメール・フルネーム・部門・MACアドレス・適用されたKB・OS・OSバージョン・エンドポイントセキュリティステータス・IPアドレス・端末タイプです。ここではCEOの氏名、最終ログイン日、従業員ID、メール、部署、アカウント名までチェックできるようになっているとのこと。

なお、ホンダはJustinさんに対して、「脆弱性を指摘していただきありがとうございます。特定されたセキュリティ上の問題により、外部の第三者が当社の社員とコンピューターに関連する情報からなるクラウドベースのデータの一部にアクセスできるようになっていました。システムのアクセスログを調査したところ、第三者によるデータのダウンロードは見られませんでした。現時点ではあなた(Justinさん)が撮影したスクリーンショットを除いて、データが漏洩したという証拠はありません。当社は関連する法令に従って適切な行動をとり、今後も同様の事件を防止するために予防的なセキュリティ対策に取り組みます」と語ったそうです。