メルセデス・ベンツの車載システム用ソースコードが流出

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-05-19 14:25

 Mercedes-Benzのバンに搭載されているスマートカー用コンポーネントのソースコードが流出し、オンライン上で公開されていることが、米ZDNetの取材で明らかになった。

Daimler
提供:Daimler

 この情報を公開したのは、スイスに住むソフトウェアエンジニアであるTill Kottmann氏だ。同氏は、Mercedes-Benzの親会社であるDaimlerの「GitLab」サーバーからこの情報を入手した。

 米ZDNetがKottmann氏を取材したところ、同氏はDaimlerのGitポータルにアカウントを登録し、Mercedes-Benz製のバンに搭載されている「Onboard Logic Unit」(OLU)のソースコードを含む、580件以上のGitリポジトリーをダウンロードしたと述べた。

 Daimlerのウェブサイトの説明によれば、OLUは自動車のハードウェアとソフトウェアの間にあるコンポーネントで、「自動車をクラウドに接続」する役割も担っている。

「GitLab」の設定ミスでOLUのソースコードが流出

 Kottmann氏は、米ZDNetが米国時間5月18日に行った取材に対して、同氏は「Google dorking」(Googleの検索エンジンを使ってサイトの脆弱性や問題を探すこと)によってDaimlerのGitLabサーバーを発見したと説明した。

 GitLabは、企業がGitリポジトリー上の作業を集中管理するためのウェブベースのソフトウェアパッケージだ。

 Kottmann氏の説明によれば、Daimlerはアカウントの確認プロセスを実装しておらず、存在しないDaimlerの企業メールアドレスを使うだけで、同社の公式GitLabサーバーにアカウントを登録することができたという。

 その後同氏は、サーバーから580件以上のリポジトリーをダウンロードし、5月16〜17日にかけて、それらのファイルを幾つかの場所にアップロードした。

 米ZDNetが公開されたGitリポジトリーの一部を調べたところでは、調べた範囲のファイルにはオープンソースライセンスが伴っているものはなく、漏えいした情報は、公開を意図して作られたものではない独自の情報であると見られる。

 当初はこの情報リークは無害なものに見えたが、同じ情報を調べた脅威インテリジェンス企業Under the Breachによって、Daimlerの社内システムにアクセスするためのパスワードやAPIトークンが発見された。これらのパスワードとアクセストークンは、Daimlerのクラウドや内部ネットワークに対する侵入に利用できる。

 米ZDNetとUnder the Breachが5月18日にDaimlerに連絡を取ったところ、同社はKottmann氏が情報をダウンロードしたGitLabサーバーを閉鎖した。Daimlerの広報担当者はコメントの求めに応じなかった。

 Kottmann氏は、Daimlerが情報の削除を求めてこない限り、公開したソースコードを削除することはしないつもりだと述べている。

 Kottmann氏はソースコードを公開する前に同社に連絡を取っておらず、同氏の行動の正当性には疑問が残る。

 その一方で、DaimlerのGitLabサーバーは誰でもアカウントが登録できる状態になっており、事実上のオープンシステムだったと解釈できる余地もあるかもしれない。また、米ZDNetが調べた範囲では、ソースコードにはそれらの情報が企業の占有財産であることを示す警告メッセージは含まれていなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    ITR調査結果から導くDX浸透・定着化-“9割の国内企業がDX推進中も成果が出ているのはごく一部”

  5. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]