編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

メルセデス・ベンツの車載システム用ソースコードが流出

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-05-19 14:25

 Mercedes-Benzのバンに搭載されているスマートカー用コンポーネントのソースコードが流出し、オンライン上で公開されていることが、米ZDNetの取材で明らかになった。

Daimler
提供:Daimler

 この情報を公開したのは、スイスに住むソフトウェアエンジニアであるTill Kottmann氏だ。同氏は、Mercedes-Benzの親会社であるDaimlerの「GitLab」サーバーからこの情報を入手した。

 米ZDNetがKottmann氏を取材したところ、同氏はDaimlerのGitポータルにアカウントを登録し、Mercedes-Benz製のバンに搭載されている「Onboard Logic Unit」(OLU)のソースコードを含む、580件以上のGitリポジトリーをダウンロードしたと述べた。

 Daimlerのウェブサイトの説明によれば、OLUは自動車のハードウェアとソフトウェアの間にあるコンポーネントで、「自動車をクラウドに接続」する役割も担っている。

「GitLab」の設定ミスでOLUのソースコードが流出

 Kottmann氏は、米ZDNetが米国時間5月18日に行った取材に対して、同氏は「Google dorking」(Googleの検索エンジンを使ってサイトの脆弱性や問題を探すこと)によってDaimlerのGitLabサーバーを発見したと説明した。

 GitLabは、企業がGitリポジトリー上の作業を集中管理するためのウェブベースのソフトウェアパッケージだ。

 Kottmann氏の説明によれば、Daimlerはアカウントの確認プロセスを実装しておらず、存在しないDaimlerの企業メールアドレスを使うだけで、同社の公式GitLabサーバーにアカウントを登録することができたという。

 その後同氏は、サーバーから580件以上のリポジトリーをダウンロードし、5月16〜17日にかけて、それらのファイルを幾つかの場所にアップロードした。

 米ZDNetが公開されたGitリポジトリーの一部を調べたところでは、調べた範囲のファイルにはオープンソースライセンスが伴っているものはなく、漏えいした情報は、公開を意図して作られたものではない独自の情報であると見られる。

 当初はこの情報リークは無害なものに見えたが、同じ情報を調べた脅威インテリジェンス企業Under the Breachによって、Daimlerの社内システムにアクセスするためのパスワードやAPIトークンが発見された。これらのパスワードとアクセストークンは、Daimlerのクラウドや内部ネットワークに対する侵入に利用できる。

 米ZDNetとUnder the Breachが5月18日にDaimlerに連絡を取ったところ、同社はKottmann氏が情報をダウンロードしたGitLabサーバーを閉鎖した。Daimlerの広報担当者はコメントの求めに応じなかった。

 Kottmann氏は、Daimlerが情報の削除を求めてこない限り、公開したソースコードを削除することはしないつもりだと述べている。

 Kottmann氏はソースコードを公開する前に同社に連絡を取っておらず、同氏の行動の正当性には疑問が残る。

 その一方で、DaimlerのGitLabサーバーは誰でもアカウントが登録できる状態になっており、事実上のオープンシステムだったと解釈できる余地もあるかもしれない。また、米ZDNetが調べた範囲では、ソースコードにはそれらの情報が企業の占有財産であることを示す警告メッセージは含まれていなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]