パスワードなし、100万人のパスポートが丸見えだった

ブラウザのアドレスバーに「tabiq」と打ち込むだけで、世界中のホテル宿泊客のパスポートや運転免許証、顔写真が画面に広がった。パスワードも、認証も、何も必要なかった。

何が起きたのか

日本のスタートアップReqreaが開発・運営するホテルチェックインシステム「Tabiq」が、100万件超の顧客の身分証明書類と自撮り認証写真をインターネット上に無防備な状態で公開していた。2020年初頭から2026年5月に至るまでの約6年分のデータが対象で、日本国内の複数のホテルを利用した世界各国の宿泊客の情報が含まれていた。

この問題を発見したのは、独立系セキュリティ研究者のAnurag Sen氏だ。同氏は今週初め、米テクノロジーメディアTechCrunchに連絡を取り、データ漏洩の事実を伝えた。原因は高度なサイバー攻撃ではなく、Reqreaが顧客データを保管するために使用していたAmazonのクラウドストレージ（S3バケット）のアクセス設定を「公開」にしたままにしていたことだった。

TechCrunchがReqreaと日本のサイバーセキュリティ調整機関であるJPCERTに連絡した後、Reqreaは速やかにストレージを非公開に変更した。同社の橋本雅貴ディレクターはTechCrunchへのメールで「外部の法律顧問やアドバイザーの支援を受けながら、露出の全容を把握するための徹底的な調査を実施中」と述べた。また、調査完了後に影響を受けた個人への通知を行う予定だとしている。

なお、AmazonのS3バケットはデフォルトで非公開設定になっており、数年前に類似の事故が相次いだことを受け、Amazonはデータを公開状態にする前に複数の警告を表示するよう仕様を変更している。それにもかかわらず今回の事態が起きたことについて、Reqreaは「どのようにして公開状態になったか不明」と説明している。

「高度な攻撃」ではなく「初歩的なミス」という問題

広告

広告掲載について

[email protected]

広告

今回の事件が示す本質的な問題は、技術の複雑さではなく、その単純さにある。

サイバーセキュリティの世界では、AIを活用した脆弱性発見や高度な標的型攻撃が注目を集めることが多い。しかし現実には、大規模な個人情報流出の多くは、こうした洗練された手口ではなく、設定ミス、ヒューマンエラー、基本的なセキュリティ対策の不徹底によって引き起こされている。バケット名が「tabiq」という推測しやすい名称だったことも、リスクを高める一因だった。

今回の事態は孤立した事例ではない。今年初めには、送金サービス「Duc App」の顧客が提出した運転免許証やパスポートが流出。昨年は、レンタカー大手Hertzがサイバー攻撃を受け、少なくとも10万人の顧客の運転免許証情報が盗まれた。また、公開クラウドストレージを索引化するデータベース「GrayHatWarfare」には、今回のTabiqのバケット情報も記録されていた。Sen氏以外に誰かがデータにアクセスしていたかどうかは、現時点では不明だ。

ホテル業界と「本人確認」の構造的リスク

Tabiqのようなシステムが普及した背景には、ホテル業界が抱える人手不足という現実がある。特に日本では、少子高齢化による労働力不足が深刻で、フロント業務の自動化・無人化へのニーズは高い。顔認証と書類スキャンを組み合わせたチェックインシステムは、その有力な解決策として位置づけられてきた。

しかし今回の事件は、こうした利便性の追求が、適切なセキュリティ設計を伴わない場合に何をもたらすかを明確に示している。宿泊客はホテルを信頼してパスポートを提示するが、そのデータが実際にどのように管理されているかを知る術はほとんどない。

さらに問題を複雑にするのが、世界的な「年齢確認法」や「本人確認（KYC）」の義務化の潮流だ。各国政府や民間企業が身分証明書類のアップロードを求める場面は今後も増加する見込みだが、その受け皿となる第三者企業のセキュリティ水準は必ずしも担保されていない。流出した情報は、なりすまし詐欺や顔写真の悪用リスクを高める。

日本の個人情報保護委員会（PPC）は近年、個人情報保護法の改正を重ね、漏洩時の報告義務を強化してきた。Reqreaが今後どのような対応を取るか、規制当局がどう動くかは注目に値する。