hadi-yazdi-O19zgBvj6PM-unsplash
本田技研工業(ホンダ)が社内で使用しているElasticsearchデータベースが、特別な認証なしでアクセスできる状態でホストされていることをCloudflareで働くJustinさんが発見しました。

iii

Justinさんが発見したのは、ホンダが社内ネットワークで使用するデータベース。データベース内に保持されているデータは、「ホンダの内部機器目録のようなもののようです」とJustinさんは記しています。データベースにはマシンのホスト名、MACアドレス、IPアドレス、OSバージョン、適用されたパッチ、エンドポイントセキュリティソフトウェアのステータスなどの情報が含まれていたとのこと。なお、Justinさんは問題を発見したのちホンダに連絡し、セキュリティチームが既に問題を解決済みであるため、記事作成時点ではデータベースへのアクセスは不可能になっています。

しかし、2019年7月1日の時点ではデータベースに誰でもアクセスできる状態となっていたそうです。当初、ホンダへの連絡手段がなかったそうですが、JustinさんがTwitter上で助けを求めたところ、何人かの親切な人の手助けを借りることができ、7月6日にホンダのセキュリティチームに連絡することに成功しました。

データベース上には約1億3400万件分のデータが保管されており、データ量は40GBにものぼるものだったそうです。

データベースには2019年3月13日から7月1日までのデータが保管されていたとのこと。
保管されているデータを日付順に並べると、毎日約4万件のデータがデータベース上に追加されていることが判明。また、2019年3月中旬にはデータ量が異常に急増していたそうです。データが2019年3月13日のものからしか存在しないという点から、Elasticsearchデータベースの運用が始まったのが2019年3月で、初期のデータロードの影響でデータ量が急増したのではないかとJustinさんは推測しています。

データべース上には日本を含む複数の事業所で働く従業員に関するデータが保管されており、「Empty string」と表示されているのが日本の従業員に関するデータだったそうです。データベース上の約28.6%に相当します。

https://news.livedoor.com/lite/article_detail/16868799/


3: 2019/08/02(金) 12:49:05.11 ID:KCIBrjj20
社員のなら別に良くね?

5: 2019/08/02(金) 12:50:39.36 ID:GEHMHhwy0
クラウド会社に社員にの個人情報を渡してる事の同意はえたの?

6: 2019/08/02(金) 12:51:14.23 ID:0k5UY2hR0
スパイ多過ぎだろ

7: 2019/08/02(金) 12:52:09.08 ID:yhjDDWDK0
ずいぶん前だが、AWS使ってたら覚えのないフォルダやファイルがストレージにあって、何だろうと開いたら知らない企業の作りかけの資料だったことあるぞ。理由は分からんがお漏らしは日常的にあるはずだ。

そのインスタンスは破棄したのでその後どうなったかは知らん。

8: 2019/08/02(金) 12:52:09.91 ID:0k5UY2hR0
誰かが穴を開けたのか
運用にスパイがいるのかどっちだよ

10: 2019/08/02(金) 12:54:30.99 ID:77Dap/450
何で漏れたか、明日まで考えといてください。
そしたら何かが見えてくるはずです。
ほな、いただきます。

14: 2019/08/02(金) 12:58:18.71 ID:qA4fg+cq0
なるほどホンダだけに!

15: 2019/08/02(金) 13:00:12.35 ID:RiVIskYm0
これ半分ホンダジェットの仕業だろ

17: 2019/08/02(金) 13:06:27.39 ID:cO+biDqX0
クラウドなんて糞だよ。

18: 2019/08/02(金) 13:10:54.33 ID:TQIlpD+Z0
重要なデータをクラウドに上げる馬鹿は死んだ方が良いよ。

19: 2019/08/02(金) 13:14:22.03 ID:7jCXuOLJ0
昔期間工やってたがなんか緊急用サイトみたいのに登録させられた記憶が
パスワードは社員番号かなんかでこんなんでいいのかと思ったような

26: 2019/08/02(金) 13:28:25.20 ID:UE7l3s5P0
>>19 だめだ、そりゃ

21: 2019/08/02(金) 13:19:34.59 ID:be4DzGkE0
設定ミスなんだろうけど、複数チェック体制じゃないのがやばい

22: 2019/08/02(金) 13:22:47.83 ID:cLO71Wgr0
ハッキングし 情報を販売したんだろ
素直に白状しろ

28: 2019/08/02(金) 13:30:56.22 ID:5ha0IFad0
社員のなら別に……

29: 2019/08/02(金) 13:35:25.65 ID:R08NKYGG0
内部の人間による
犯行の疑いが…

31: 2019/08/02(金) 13:37:51.64 ID:D4sYnZb60
おっ
日本の人口くらいあるから正社員の友人のもあるな
多分期間工もあるんだろうなw

32: 2019/08/02(金) 13:41:59.39 ID:rDRGbc+B0
アロンソ「まじかよ」

34: 2019/08/02(金) 14:03:50.77 ID:I4OilP5k0
日本の従業員に関するデータは「空の文字列」

35: 2019/08/02(金) 14:07:16.14 ID:TQIlpD+Z0
多くの人がアクセスできるという事は・・・。


本店内の金庫を本店前に移して、
金庫破りコンテストをするようなものなのだが・・・。

38: 2019/08/02(金) 14:14:47.11 ID:qIzHMW2K0
まぁ、クライドとかの乗せたら見られたい放題でしょうからね

39: 2019/08/02(金) 14:14:54.74 ID:QUALq1y/0
宗一郎だったら
スパナで担当役員の頭を陥没させて
ハッハッハッと一笑?

40: 2019/08/02(金) 14:15:38.75 ID:qIzHMW2K0
クラウドは自らデータ晒しする品物ぞ

47: 2019/08/02(金) 14:33:20.08 ID:ezMspmjv0
こんなんで連絡したら不正アクセスで訴えられたりしないの?

49: 2019/08/02(金) 14:35:55.40 ID:ZmtJ4aEw0
日本人口超えててワロタwww

51: 2019/08/02(金) 14:43:46.83 ID:C0xA2Thk0
大企業ほどセキュリティがクソなのか
中小企業はもっと酷いのか・・。

52: 2019/08/02(金) 14:47:10.89 ID:tp5T2Tlu0
7/1時点で丸見えの状態で7/6に対処したってことは、7/1以前も見えてた可能性が
高いわけで、こりゃそれなりに抜かれてんじゃないか?

確か従業員の情報も個人情報保護法の対象だったような・・・

53: 2019/08/02(金) 15:00:10.25 ID:ekS2HO1z0
従業員向けPCにインストールされた監視ソフトのログみたいだな

54: 2019/08/02(金) 15:07:14.18 ID:EoJlPb+f0
件数はソニー超えたか
ソニーは顧客の情報だったけどな

引用元:http://asahi.5ch.sc/test/read.cgi/newsplus/1564717668/



1001:以下、バイク速報がおすすめ記事をお送りします
News Pick UP

バイク人気商品


1週間の人気記事