Nissan North Americaのパスワード設定

昨日のニュースの中では、この記事が衝撃的でした。日産の内部ツールやアプリケーションのソースコードがGitサーバーの「設定ミス」によって漏えいしたと報じられています。残念ながら2021年も「パスワード問題」は続きそうです。

japan.cnet.com

　日産自動車の北米法人Nissan North Americaが開発し、使用しているモバイルアプリや社内ツールのソースコードがオンラインに流出した。同社が使用するGitサーバーの1つに関する設定ミスが原因とみられる。

　データ流出の発端となったGitサーバーは、ユーザー名とパスワードがデフォルト設定（admin/admin）となっており、インターネット上で誰もが見られる状態となっていたという。スイス在住のソフトウェアエンジニア、Tillie Kottmann氏が今週、この件について米ZDNetの取材で述べた。

（CNET記事より引用）

キタきつねの所感

年末のガキ使の有名なセリフで言うならば、「日産アウト！」の声が聞こえてきそうな「やっちゃった感」がありますが、当該のGitサーバーが1/5に遮断される前に既にTorrentやTelegram経由で流出データが拡散されている様です。

Admin/Admin、北米日産の開発陣はセキュリティ担当に見つかったら誰もがNGを出すであろう、やってはいけないデフォルト設定をしていた様です。

日産が外部サーバー（GitLab）を保護されてないままネット接続のサーバーに（意図しない）公開していた事になりますが、外部の（ホワイト）ハッカーは、こうしたミスを常に探しています。今回の様にデフォルトパスワードというのは論外としても、IP制限や多要素認証による保護など、パスワードだけに頼らないセキュリティが必要かと思います。

漏えいしたデータに関してZDNetの記事では以下の様に書いています。

日産NAモバイルアプリ
日産ASIST診断ツールの一部
ディーラービジネスシステム/ディーラーポータル
日産内部コア移動図書館
日産/インフィニティNCAR / ICARサービス
クライアント獲得および保持ツール
販売/市場調査ツール+データ
さまざまなマーケティングツール
車両ロジスティクスポータル
車両接続サービス/日産接続物
およびその他のさまざまなバックエンドと内部ツール

（ZDNet記事より引用）※機械翻訳

※画像はZDNet記事より引用

今回漏えいしたツールやアプリケーションのソースコードが将来、コネクテッドカー等に対する別な攻撃に使われる可能性がどの程度あるか（今後の影響）は分かりませんが、外部デポジトリ情報の保護、もっと言えば管理者認証情報（パスワード）の取扱いについて、日産は海外まで含めた再点検と、従業員に対する更なる「セキュリティ啓蒙」が必要になっている様です。

また、日本企業や組織は、これは日産だけの問題なのか？という視点で、自社の体制を振り返る事も必要かと思います。

この情報を最初に開示したスイスのソフトウェアエンジニア、Tillie Kottmann氏はメルセデスベンツ（DimlerAG GitWeb Portal)でも同様な設定が不適切なGitサーバを2020/5に発見し、580を超えるGitリポジトリをDLする事に成功しています。

SMAT/webscrape is a tool by the data science/market research team, which scrapes all current offers on cars by zip code from https://t.co/5h9U6RLYge.

yes thats a Nissan website.

great culture if you have to scrape the website another departement made to get data you need.
(6/n) pic.twitter.com/tIshObv8vl
— tillie, doer of crime 💛🤍💜🖤 (@antiproprietary) 2021年1月4日