トヨタ自動車株式会社ならびにトヨタコネクティッド株式会社が提供するコネクティッドサービス「T-Connect」をご契約いただいた一部のお客様のメールアドレスおよびお客様管理番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、29万6,019件が漏洩した可能性があることが判明致しました。お客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。
対象となるお客様は、2017年7月以降、「T-Connect」のユーザーサイトにてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は、メールアドレスおよびお客様管理番号となり、氏名、電話番号、クレジットカード等その他の情報については、漏洩の可能性はなく、「T-Connect」のサービス自体への影響もございません。
セキュリティ専門家による調査の結果、お客様のメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況となっております。
メールアドレスおよびお客様管理番号が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、ご自身のメールアドレスが、今回の対象となっているか、ご確認いただける専用フォームをホームページ上にご用意したほか、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置致しました。
なお、レクサス車向け「G-Link/G-Link Lite」、および「MyTOYOTA/My TOYOTA+」アプリをご利用時のメールアドレスは、今回問題となったユーザーサイトとは扱いが異なるため、メールアドレス漏洩の可能性はございません。
1.経緯と対応
2022年9月15日、「T-Connect」のユーザーサイトのソースコード(コンピューターの処理を記述したテキスト文)の一部が、GitHub(ソフトウェア開発のプラットフォーム)上に公開されていることを確認いたしました。その結果、2017年12月~2022年9月15日まで、第三者がGitHub上にあるソースコードの一部にアクセス可能な状態になっていたことが判明致しました。公開されていたソースコードには、データサーバーへのアクセスキーが含まれており、それを利用することで、データサーバーに保管されているメールアドレスおよびお客様管理番号にアクセスできることが判明致しました。同日、直ちにGitHub上の当該ソースコードを非公開化し、9月17日にデータサーバーのアクセスキーの変更等の対応を実施しており、二次被害等は確認されておりません。
2.流出の可能性が発生した原因
2017年12月、「T-Connect」ウェブサイト開発委託先企業が、取り扱い規則に反し、ソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたことが原因ですが、2022年9月15日までこれに気付かず放置されたままとなっておりました。
本件は、開発委託先企業におけるソースコードの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客様の個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めてまいります。
弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、お客様の個人情報保護・管理の徹底について、お客様から信頼を寄せていただけるサービスの実現に向け、より一層尽力してまいります。
お客様へのお願い
現時点で本件に関わる個人情報の不正利用は確認されておりませんが、メールアドレスを悪用した「なりすまし」や「フィッシング詐欺」等、迷惑メールが送信される可能性が考えられます。
差出人や件名に心当たりのない不審なメールを受信した場合は、ウイルス感染や不正アクセス等の危険がありますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。
また、メール内に記載されたアドレス(URL)へアクセスする際は十分ご注意いただき、「契約内容の確認」・「パスワードの変更」等の名目での偽サイト上の入力フォームへの誘導する手口につきましても、十分にご注意いただくようお願いいたします。