🌐 This article hasn't been translated yet — showing the Japanese version.
「Tabiq」でAmazon S3設定不備、106万人分の本人確認書類画像が6年間閲覧可能に thumbnail
DATA LEAK Importance High 2026-07-14

「Tabiq」でAmazon S3設定不備、106万人分の本人確認書類画像が6年間閲覧可能に

⏱ approx. 2 min views 3 likes 0 LOG_DATE:2026-07-14
TOC

6年間、誰でも見られる状態だった #

宿泊施設向けの電子チェックインシステム「Tabiq」を提供する株式会社リクリエが、Amazon S3の設定不備により、2020年1月から2026年5月まで約6年間にわたり第三者が外部からアクセスできる状態になっていたと発表した。対象は106万338人分、露出した情報は顔写真・署名画像・パスポート・運転免許証などの本人確認書類画像という、なりすまし被害に直結しかねない機微データだ。発覚は2026年5月13日、翌14日にはアクセスを遮断している。現時点で悪用の痕跡は確認されていないという。

Tabiq情報漏えいの経緯を示すタイムライン図
2020年の運用開始時点の設定不備が、6年間見過ごされたまま今年5月に発覚した

S3の「公開バケット」問題は今も現役 #

S3バケットの権限設定ミスによる情報流出は目新しい手口ではなく、10年以上前から繰り返されてきた「定番の事故」だ。それでも消えないのは、チェックインのようなB2B2C型のシステムでは、宿泊施設・予約サイト・システム提供元と関係者が多く、誰が権限監査の責任を持つか曖昧になりやすいためだろう。しかも本人確認書類の画像は法対応上ホテル側で長期保存が必要になりがちで、消せない・気づけない・見つからないの三重苦が重なりやすい。今回も「6年間」という数字が、監査の空白期間の長さをそのまま物語っている。

宿泊業界のクラウド運用に突きつけられた宿題 #

本人確認書類の漏えいは、パスワードと違って再発行しても取り消せないのが厄介な点だ。旅行・宿泊業界はインバウンド需要拡大で本人確認のデジタル化を急速に進めているが、利便性の裏でクラウドストレージの公開範囲チェックが後回しになっていないか、委託先を含めた点検が急務になっている。

𝕏 Post B! Hatena

COMMENTS 0

No comments yet — be the first to leave one.

Post a comment