Mercedes-Benzのバンに搭載されているスマートカー用コンポーネントのソースコードが流出し、オンライン上で公開されていることが、米ZDNetの取材で明らかになった。
提供:Daimler
この情報を公開したのは、スイスに住むソフトウェアエンジニアであるTill Kottmann氏だ。同氏は、Mercedes-Benzの親会社であるDaimlerの「GitLab」サーバーからこの情報を入手した。
米ZDNetがKottmann氏を取材したところ、同氏はDaimlerのGitポータルにアカウントを登録し、Mercedes-Benz製のバンに搭載されている「Onboard Logic Unit」(OLU)のソースコードを含む、580件以上のGitリポジトリーをダウンロードしたと述べた。
Daimlerのウェブサイトの説明によれば、OLUは自動車のハードウェアとソフトウェアの間にあるコンポーネントで、「自動車をクラウドに接続」する役割も担っている。
「GitLab」の設定ミスでOLUのソースコードが流出
Kottmann氏は、米ZDNetが米国時間5月18日に行った取材に対して、同氏は「Google dorking」(Googleの検索エンジンを使ってサイトの脆弱性や問題を探すこと)によってDaimlerのGitLabサーバーを発見したと説明した。
GitLabは、企業がGitリポジトリー上の作業を集中管理するためのウェブベースのソフトウェアパッケージだ。
Kottmann氏の説明によれば、Daimlerはアカウントの確認プロセスを実装しておらず、存在しないDaimlerの企業メールアドレスを使うだけで、同社の公式GitLabサーバーにアカウントを登録することができたという。
その後同氏は、サーバーから580件以上のリポジトリーをダウンロードし、5月16〜17日にかけて、それらのファイルを幾つかの場所にアップロードした。
米ZDNetが公開されたGitリポジトリーの一部を調べたところでは、調べた範囲のファイルにはオープンソースライセンスが伴っているものはなく、漏えいした情報は、公開を意図して作られたものではない独自の情報であると見られる。
当初はこの情報リークは無害なものに見えたが、同じ情報を調べた脅威インテリジェンス企業Under the Breachによって、Daimlerの社内システムにアクセスするためのパスワードやAPIトークンが発見された。これらのパスワードとアクセストークンは、Daimlerのクラウドや内部ネットワークに対する侵入に利用できる。
米ZDNetとUnder the Breachが5月18日にDaimlerに連絡を取ったところ、同社はKottmann氏が情報をダウンロードしたGitLabサーバーを閉鎖した。Daimlerの広報担当者はコメントの求めに応じなかった。
Kottmann氏は、Daimlerが情報の削除を求めてこない限り、公開したソースコードを削除することはしないつもりだと述べている。
Kottmann氏はソースコードを公開する前に同社に連絡を取っておらず、同氏の行動の正当性には疑問が残る。
その一方で、DaimlerのGitLabサーバーは誰でもアカウントが登録できる状態になっており、事実上のオープンシステムだったと解釈できる余地もあるかもしれない。また、米ZDNetが調べた範囲では、ソースコードにはそれらの情報が企業の占有財産であることを示す警告メッセージは含まれていなかった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
