100万件のパスポート情報が公開状態で発見#
この記事で分かること(読了時間:約3分)
- スペインのカナビスクラブ向けシステムで発生した大規模データ漏洩の詳細
- 漏洩したデータの種類と影響範囲
- 企業の対応と今後の対策
【結論】重要ポイント3選#
1. 約98万5千件の身分証明書が無防備な状態で公開 パスワードやアクセス制御なしで、誰でもアクセス可能な状態でした
2. スペインのカナビスクラブ利用者の個人情報が大量流出 パスポート、運転免許証、住所、電話番号、嗜好データまで含まれていました
3. アイルランドの企業Cannabis Club Systemsのシステム脆弱性が原因 開発を委託された外部企業のセキュリティ不備が根本的な問題でした
発見された脆弱性とは?#
セキュリティ研究者のSammy Azdoufalが、Cannabis Club Systems(CCS)(旧Nefos Solutions)が提供するシステムで重大な脆弱性を発見しました。
漏洩データの詳細#
対象となったデータ:
- パスポートの画像
- 運転免許証の表裏
- 電話番号と住所
- カナビスの嗜好や月間消費量
- 有名人を含む利用者情報
影響範囲:
- 総数:98万5千件以上
- 米国からの利用者:3万人
- 毎日新たに5千件のIDが追加
脆弱性の仕組み#
AzdoufalがPuffPalアプリを解析した結果、以下の深刻な問題が判明しました:
1. 公開URLでの画像保存#
https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg上記のような単純なURLで、パスポート画像に誰でもアクセス可能でした。
2. セキュリティキーの平文保存#
Stripe決済プラットフォームの秘密キーがアプリ内に平文で保存されていました。
3. 脆弱な認証システム#
- ユーザーIDを変更するだけで他人のプロフィールにアクセス可能
- 管理者ポータルが公開インターネット経由でアクセス可能
- 現代のGPUで数分でクラック可能なパスワード
Cannabis Club Systemsの対応#
初期対応の問題#
対応の遅れ:
- 研究者からの連絡後、返答まで5日間要した
- 記事化の脅威があって初めて対応開始
不完全な修正:
- 一度は画像を保護したが、クラブからの苦情で再び公開
- パスポート画像は70%の時間しか保護されていなかった
- 6月9日時点でも個人情報の大部分が漏洩状態
最終的な対策#
現在の対応状況:
- PuffPalシステム全体の停止
- 脆弱なAPIの完全停止
- アイルランドデータ保護委員会への報告
- 影響を受けた全ユーザーへの通知予定
企業の責任と今後の対策#
法的責任#
CCSの共同創設者Andreas Nilsenは以下を認めました:
- EU法では72時間以内の違反報告が義務(未実施)
- 重大な罰金の可能性
- 現時点で研究者以外のアクセス証拠はなし
再発防止策#
技術的対策:
- 開発委託先9Seriesとの契約終了
- 独立セキュリティ研究者による検証実施
- 数ヶ月以内の新アプリ開発予定
運用面の改善:
- 不安全なPuffPalの再開を拒否する方針
- RFID カードや電話番号でのID確認システム継続
よくある質問(FAQ)#
Q: 自分のデータが漏洩したか確認する方法は? A: スペインのカナビスクラブを利用した経験があれば、漏洩対象の可能性があります。詳細は元記事を参照してください。
Q: なぜこのような基本的なセキュリティ不備が発生したのか? A: 開発を委託された外部企業9Seriesの技術不備が主要因とされています。
Q: 今回の事件から学ぶべき教訓は? A: 個人情報を扱うシステムでは、委託先を含む包括的なセキュリティ管理が不可欠です。
まとめ:押さえておくべき重要ポイント#
今回の事件はデータセキュリティの重要性を改めて浮き彫りにしました。
企業に求められる対策:
- 委託先を含む包括的セキュリティ管理
- 個人データの適切なアクセス制御
- 迅速な問題対応と透明な情報開示
利用者側の注意点:
- 身分証明書を提供する際のサービス選択
- データ保護方針の事前確認
- 漏洩発生時の迅速な対応
このような大規模なデータ漏洩は「データセキュリティの警鐘」として、すべてのデジタルサービス提供者が真摯に受け止める必要があります。
参考元: Nearly a million passports and photo IDs were left unprotected on the public internet
