ハクソク

世界を動かす技術を、日本語で。

100万件のパスポートがオンラインで流出

2026年6月28日原文(theverge.com)

概要

  • セキュリティ研究者Sammy Azdoufalが、Cannabis Club Systems(CCS)の大規模な個人情報漏洩を発見
  • 98万5千件以上の身分証明書画像がパスワードなしで公開状態に
  • PuffPalアプリやAPIの脆弱性により、個人データが簡単に取得可能
  • 企業側の対応は遅れ、EU法に違反
  • 問題発覚後、サービス停止と対応策が進行中

大規模な個人情報漏洩事件:Cannabis Club Systemsの事例

  • セキュリティ研究者Sammy Azdoufal による問題発見
    • Claude Codeを利用した自動化ツールによる調査結果
    • 985,000件以上 の身分証明書画像がパブリックURLで無防備に公開
    • ドイツ人女性やスペイン人男性など、世界中の利用者のパスポートや運転免許証が閲覧可能な状態
  • スペインのカンナビスクラブ 利用者が主な被害対象
    • セレブリティやアメリカからの3万人以上の訪問者も含む
    • 氏名、電話番号、住所、嗜好や消費量など詳細なデータも流出
  • Cannabis Club Systems(CCS)/Nefos Solutions が提供するクラウド型管理システムに問題
    • クラブ受付がIDや自撮り画像をクラウドへアップロードする仕組み
    • PuffPalアプリによるQRコード入場の迅速化機能
  • PuffPalアプリとAPIの重大なセキュリティ欠陥
    • Stripe決済のシークレットキーがアプリ内に平文で保存
    • メンバーIDの数字を変更するだけで他人のプロフィールにアクセス可能
    • パスポート画像や個人情報が簡単なURLで誰でも取得可能
    • 1日あたり5,000件の新規ID画像が無防備にアップロード
    • 管理者ポータルやチャット機能も脆弱
  • 企業対応の遅れと不十分な初期対策
    • Azdoufalからの連絡後も即時対応せず
    • 顧客からの画像表示不具合の苦情で再び画像を公開
    • API経由で個人情報(パスポート番号、住所、電話番号等)が依然取得可能な状態が続く
  • 最終的な対応と今後の方針
    • PuffPalシステムと脆弱なAPIの一時停止
    • パスポート画像や個人データの保護強化
    • EU法(72時間以内の漏洩報告義務)違反を認識し、罰則受容の姿勢
    • 9Series(開発委託先)との契約解除予定
    • 新アプリ開発と第三者によるセキュリティ検証の実施計画
  • 同様の事例と警鐘
    • 直近ではUK Visa Portalでも10万件以上のパスポート画像が公開状態に
    • 個人情報管理の重要性と企業責任への警告

今回の事件から得られる教訓

  • クラウドサービス利用時のセキュリティ設計 の重要性
    • パブリックURLや平文保存の危険性
  • 外部委託開発(アウトソーシング)管理の徹底
    • セキュリティ要件の明確化と検証の必要性
  • インシデント発生時の迅速な対応と法令遵守
    • 利用者への速やかな情報提供と透明性確保
  • 第三者による定期的なセキュリティ監査 の実施
    • 継続的な脆弱性評価と改善サイクルの構築

Hackerたちの意見

うわ、これはひどいね。

「書類は、カンナビスクラブが使っているシステムや、PuffPalを運営しているNefosという会社がホストしていた。PuffPalは、ヨーロッパのカンナビス小売店やクラブの会員管理や年齢確認を行うプラットフォームだ。この身分証明書を保存しているインフラは、パスポートのスキャンや、写真、名前、識別番号が入った運転免許証などが、完全に無防備な状態で公開されているウェブサーバーに置かれていた。こんなに個人情報が漏れたら、GDPRの下でどれだけの罰金が科されるか想像もつかない。」

EUの確認法がある限り、今後もっとこういう漏洩が増えるだろうし、その分罰金も増えるね。

結果を見せてよ。何かしらの影響があるって聞くけど、あいつらはいつも罪を償わないよね。

確認は、郵便局に行って、窓口の人がオンラインフォームで正しいIDを提示したことを証明するだけでいいんじゃない?それに、写真照合もやっておけば完璧。コンピュータにその事実を保存して、1回のID使用に限る。こんな大麻のことみたいな重要度の低いものにはいいと思うけど(ビザ申請みたいに保存が必要なものとは違って)。ナイトクラブのバウンサーがIDをチェックするのと同じような感じだね。

セキュリティの欠如も問題だけど、そもそもなんで情報を保持してるの?確か、GDPRの要素の一つに「保存制限」があるはずで、つまり必要以上に個人データを保持しちゃダメなんだよね。この場合、データはユーザーの年齢確認にしか必要ないし、再度必要になることはないはず(人が若返ることができない限り)。一度身分証明書を使って本人確認と法定年齢の確認ができたら、そのコピーを保持する理由はないよ。ユーザーの写真を保持して、アカウントと一致するか確認するのは合理的で公平だけど、それだけで十分。

ACTを受けてから10年後、行ったこともない大学から手紙が来て、私のSSNが漏れたって言われた。なんで10年も経ってからそんなことを保持してるんだ!?今は誰かにSSNを渡すのは絶対にやらないって分かってるけど、ティーンエイジャーの頃はそんなこと知らなかった。こんな馬鹿げたことが違法になるまでは、ずっと続くんだろうな。

「一度身分証明書を使って本人確認と法定年齢の確認ができたら、そのコピーを保持する理由はないよ。KYC法や一般的なCYAポリシーは年齢証明を保持することを好むのかな?例えば、未成年者がパスポートの日付を改ざんするのを防ぐために。特に規制の厳しい業界では。」

「何が起こったかを見てみて。高価な資格情報—パスポート—が、カンナビスディスペンサリーのID確認という低価値の認証システムで使われた。そして、ハッキングされたのはその低価値のシステムで、高価な資格情報が危険にさらされた。なんでこれらのシステムは、確認後もユーザーのデータを保持するの?」

なんでそんなことしないんだろう?監査要件に失敗したら大きなデメリットがあるだろうし、一定期間記録を保持することが義務付けられてるはず。悪いことをするのにコストがかからず、いいことをするのに法的・財政的に危険があるシステムを作ったら、誰だって悪いことを選ぶよね。そもそも、こんな情報を集めるべきじゃない。こういうポリシーを設計する人たちは、実際に機能するものを作る能力がないんだよ。彼らは、自分たちが賢くて有能なリーダーだと見せかけたいだけで、実際はそうじゃない。年齢確認やオンラインID、中央銀行デジタル通貨なんかに手を出してるけど、この事件を忘れないでほしい。こういうポリシーを実施したり書いたりする人たちは、ほんとにバカだよ。彼らはリスクを考えず、冗長性や耐久性を計画しない。悪意のある行動を考慮に入れないし、システムの悪用についても考えてない。

これに関してちょっとした話があるんだけど、少し複雑で完全には関係ないかも。でも、低価値のユースケースが高価値の認証メカニズムを脅かす様子を示してるんだ。あるプロジェクトで、不動産会社がクライアントで、彼らはCRMを使って家をアップロードして、Zillowみたいなサイトに掲載してる。私たちは彼らのリストされた家のデータが必要だったから、CRUDを作る代わりにそのデータソースを使いたかった。CRMの営業チームにAPIについて聞いたら、サードパーティ用のアカウントはないって言われて、クライアントのアカウントにはAPIがあるから、APIキー(またはアカウントのパスワード)をクライアントに頼む必要があるって。一般的には理解できるけど、私たちの場合はデータが公開されてるから、CRMの営業スタッフはクライアントにアカウントにアクセスさせて公開データを取得するように頼むべきだって考えたみたい。結局、私たちはZillowみたいなサイトから家をスクレイピングすることにしたんだ。実際、私たちのプロジェクトは付随的な低価値だったから、CRMのクライアントも同じように脆弱だと思うし、問題の根本原因は全然明らかじゃない。2つの点がある:1つ目は、APIキーが常に必要なAPIを持つこと(公開データに対して認証なしのアクセスを許可しないこと)は逆に安全性が低いってこと。認証情報やトークンが必要ない時に使われることが多くなるから。2つ目は、このCRMは実質的に集約者として機能していて、他のベンダーに公開するためにAPIを消費してるけど、他のベンダーが彼らからデータを読み取るためのAPIは提供してない。これによって、サードパーティのベンダーがクライアントとして認証することになってしまって、これは間違ってる。認証情報は人やグループを特定するものであって、ユースケースを特定するものじゃない。

EUではどうなってるかわからないけど、アメリカではほとんどの州に「PMP」(処方薬監視プログラム)があって、多くの州でマリファナの販売を追跡してるんだ(実際には処方薬じゃないけど、管理薬物だから)。医者は約12ヶ月前までのデータを見れるんだけど、ほとんどの人はこれを知らなくて、アルコールの販売みたいにID確認の後に売られて、みんな忘れちゃうと思ってる。いくつかの州では、マリファナの販売を処方薬の配布みたいに扱っていて、関与する人々の詳細を含む中央データベースに報告する必要がある。スペインでも同じことがあるかはわからないけど。

一言で言うと、クレーム。理解できる部分もあるけど、問題の一部でもある。

Hacker Newsで議論の続きを見る