search
ja日本語
banner
ホームページ / ニュース / ホンダ、米国の機器ディーラー向けプラットフォームで研究者が発見したバグを修正
ニュース
pageSearch
最新ニュース

ホンダ、米国の機器ディーラー向けプラットフォームで研究者が発見したバグを修正

Jun 06, 2023Jun 06, 2023

ホンダは、米国のホンダ・パワー・イクイップメントとホンダ・マリンのディーラーが使用するプラットフォーム上で、誰でもアカウントを乗っ取ることができた可能性がある脆弱性を修正したと発表した。

今週、サイバーセキュリティの専門家イートン・ズベア氏は、あらゆるアカウントのパスワードを「簡単に」リセットできる欠陥を悪用して、どのようにしてプラットフォームを侵害できたかを説明した。

このツールは、発電機、芝刈り機、船外機などのホンダ製品を販売する米国のディーラー向けのものです。 この問題がホンダの自動車事業に何らかの影響を与えたわけではないようだが、ズベア氏は、他のホンダ製品をオンラインで購入した人は危険にさらされていた可能性があると述べた。

ホンダは4月にZveareにこの脆弱性を認め、この問題を認識すると「サイトへのアクセスを迅速に隔離し、その後サイトのセキュリティ対策を更新」し、最終的にサービスを再開したとRecorded Future Newsに語った。

「現時点ではホンダは、この脆弱性を利用してサイトに保存されている消費者やディーラーの機密情報にアクセスしたり、悪意のある活動が行われたことは認識していない」と広報担当者は述べた。

「この状況によりお客様やディーラーに不安を与えたことを心から遺憾に思いますが、研究者からの通知を受け取り、問題解決に向けて迅速な対応が可能になったことに感謝いたします。」

ズベア氏は、この脆弱性により、テストアカウントからログインした場合でも、プラットフォーム上のすべてのデータにアクセスできると述べた。 彼のアクセスにより、2016 年 8 月から 2023 年 3 月までの全ディーラーにわたる 21,393 件の顧客注文 (顧客の名前、住所、電話番号、注文した商品など) を確認することができました。

また、1,570 のディーラーの Web サイトから情報にアクセスし、いずれかのサイトを変更することもできました。 この脆弱性により、彼は 3,588 のディーラー アカウントすべてを参照し、任意のユーザーのパスワードを変更できるようになりました。 彼は 1,000 件を超えるディーラーのメールと 11,000 件を超える顧客のメールを見ました。

Zveare氏は、Stripe、PayPal、Authorize.netをプラットフォームに公開したディーラーの秘密鍵にアクセスできた可能性があると指摘した。

彼がプラットフォームをテストするきっかけとなったのは、2022年10月にグローバルサプライヤー準備情報管理システム(GSPIMS)と呼ばれるトヨタのWebアプリを完全に制御できるようにしたとして2月に世間を騒がせた後だった。そのプラットフォームは、プロジェクト、部品、調査などを調整するために使用される。購入品など。

「昨年末にトヨタのシステムへの侵入に数回成功した後、新たな自動車メーカーをターゲットに自分の手を試してみたいと思いました。なぜホンダなのか? 私の友人の家族はホンダ車が大好きなので、興味深い脆弱性を見つけたら、楽しい会話の話題になります」と彼は言いました。

ホンダは 2016 年からホンダ ディーラー サイト e コマース プラットフォームを提供しており、これによりディーラーはホンダ製品を販売するための Web サイトや店頭を簡単に作成できます。

Zveare は、Power Equipment Tech Express (PETE) と呼ばれる別の接続されたプラットフォームを介してサイトに侵入する方法を見つけました。 彼は、PETE のパスワード リセット メカニズムを悪用すると、メイン プラットフォームのアカウントにも機能することを発見しました。

彼は、実際のユーザーをアカウントから締め出すことを心配していたので、ホンダのディーラー向けの YouTube ウェビナーで使用されているサンプル アカウントを使用しました。 そこからは、電子メール アドレスだけでアクセスできました。

「パスワード リセットの脆弱性は重大で、本物のディーラーのメールアドレスを見つければ、そのアカウントに簡単にアクセスできることがわかりました。しかし、それは潜在的に彼らのビジネスに支障をきたす可能性があるため、それを避け、代わりにディーラーのメールアドレスを見つけようとしました」もう一つのそれほど破壊的ではないエクスプロイトです」と彼は説明しました。

その後、すべてのアカウントに連続番号が割り当てられていることを突き止め、大量のデータにアクセスできるようになりました。 別のディーラーのアカウントを見るには、URL を 1 桁変更するだけで済みました。

ズベア氏は、最も基本的なレベルでは、ハッカーはすべての顧客データとディーラー情報を簡単に漏洩することができた可能性があると述べた。 しかし、より洗練された金銭目的のハッカーが、より貴重な情報を盗んだり、マルウェアをインストールしたりする目的で、顧客を対象としたフィッシング キャンペーンを開始するためにアクセス権を悪用した可能性があります。

同氏は、3月にホンダにこの問題を報告した後、ホンダがウェブサイトのネットワーク全体を停止させ、4月3日に調査を完了したことを同氏に確認したと述べた。

ホンダは昨年、ハッカーにシビックやその他のモデルのロックを解除される脆弱性を含むいくつかの脆弱性に対処する必要があった。 他の研究者は、ハッカーが遠隔からホンダ車を乗っ取る方法も発見した。

Jonathan Greig は、Recorded Future News のニュース速報レポーターです。 ジョナサンは 2014 年からジャーナリストとして世界中で働いています。ニューヨーク市に戻る前は、南アフリカ、ヨルダン、カンボジアの報道機関で働いていました。 彼は以前、ZDNet と TechRepublic でサイバーセキュリティを取り上げていました。

前: 芸術的な職人技を備えた愛らしいタイニーが、持続可能な生活にカラフルなタッチを加えます 次: ビジネスビルダーワークショップ: 予算に合わせたマーケティング
お問い合わせを送信
送信