車メーカーのオンラインポータルのセキュリティ脆弱性と個人・車両情報漏洩の危険性

概要

車のメーカーのオンライン販売ポータルには、セキュリティの脆弱性が存在しており、これにより顧客の個人情報や車両データが漏洩する可能性があった。
セキュリティ研究者のイートン・ズヴァレは、管理者アカウントを作成できる脆弱性を発見し、不正な攻撃者が同ポータルを通じて個人データの閲覧や車両の追跡、遠隔操作などが可能になる恐れを指摘した。
同ポータルには、アカウントの不正作成により1,000以上のディーラーへのアクセス権が得られ、一部のシステムでは顧客の運転手情報や車両情報の検索や、車とモバイルアカウントの連携による遠隔操作も可能だった。
その中には、車両のVINを使って所有者を特定した事例や、顧客の同意を得て所有権の移行も行える仕組みがあった。
また、シングルサインオンの仕組みや他のディーラーシステムへのアクセスも容易で、管理者権限を持つアカウントから他のユーザーを「偽装」することも可能だった。
この脆弱性を悪用すれば、車両の盗難や個人情報の漏洩といった深刻な被害につながる危険性があったが、幸いにも発見後1週間で修正された。
ズヴァレは、自身の発見が初報であり、システムの認証周りの脆弱性が根幹にあることを指摘している。

ポイント

1. 車メーカーのオンライン販売ポータルの脆弱性により、顧客の個人情報や車両データが漏洩し、ハッカーによる遠隔操作が危険に晒された。
2. 脆弱性を悪用すると、管理者アカウントを作成し、車両の追跡や遠隔操作、他のディーラーシステムへのアクセスも可能だった。
3. このセキュリティ問題は主に認証システムの欠陥から起きており、発見から修正まで約1週間かかったと報告されている。

詳しい記事の内容はこちらから

TechCrunch

Security flaws in a carmaker's web portal let one hacker remotely unlock...

https://techcrunch.com/2025/08/10/security-flaws-in-a-carmakers-web-portal-let-one-hacker-remotely-unlock-cars-from-anywhere/

Security researcher Eaton Zveare told TechCrunch that the flaws he discovered in the carmaker's centralized dealer portal exposed vast access to customer and vehicle data. With this access, Zveare said he could remotely take over a customer's account and unlock their cars, and more.

参照元について

AIテクノロジーまとめ

『TechCrunch』のプロフィールと信ぴょう性について｜AIテクノロジーまとめ

https://tech-matome.com/?page_id=621

ここでは『TechCrunch』の簡単なプロフィール紹介と発信する情報の信ぴょう性についてまとめています。 記事を読む際