6年間、誰でも見られる状態だった #
宿泊施設向けの電子チェックインシステム「Tabiq」を提供する株式会社リクリエが、Amazon S3の設定不備により、2020年1月から2026年5月まで約6年間にわたり第三者が外部からアクセスできる状態になっていたと発表した。対象は106万338人分、露出した情報は顔写真・署名画像・パスポート・運転免許証などの本人確認書類画像という、なりすまし被害に直結しかねない機微データだ。発覚は2026年5月13日、翌14日にはアクセスを遮断している。現時点で悪用の痕跡は確認されていないという。

S3の「公開バケット」問題は今も現役 #
S3バケットの権限設定ミスによる情報流出は目新しい手口ではなく、10年以上前から繰り返されてきた「定番の事故」だ。それでも消えないのは、チェックインのようなB2B2C型のシステムでは、宿泊施設・予約サイト・システム提供元と関係者が多く、誰が権限監査の責任を持つか曖昧になりやすいためだろう。しかも本人確認書類の画像は法対応上ホテル側で長期保存が必要になりがちで、消せない・気づけない・見つからないの三重苦が重なりやすい。今回も「6年間」という数字が、監査の空白期間の長さをそのまま物語っている。
宿泊業界のクラウド運用に突きつけられた宿題 #
本人確認書類の漏えいは、パスワードと違って再発行しても取り消せないのが厄介な点だ。旅行・宿泊業界はインバウンド需要拡大で本人確認のデジタル化を急速に進めているが、利便性の裏でクラウドストレージの公開範囲チェックが後回しになっていないか、委託先を含めた点検が急務になっている。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。