B
今週中
日本のホテルチェックインシステム「Tabiq」において、Amazon S3バケットの設定ミスにより、100万人分以上のパスポート、身分証明書、自撮り写真などの機…
📌 一言でいうと
日本のホテルチェックインシステム「Tabiq」において、Amazon S3バケットの設定ミスにより、100万人分以上のパスポート、身分証明書、自撮り写真などの機密データが公開状態になっていたことが判明しました。セキュリティ研究者の報告を受け、JPCERTなどの協力により現在は修正され、バケットはロックダウンされています。認証なしで誰でもデータにアクセス可能な状態であったため、深刻な個人情報漏洩が発生しました。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- ホテル向けチェックインシステム「Tabiq」を導入して利用している
- Amazon S3(クラウドストレージ)を自社で運用し、外部にファイルを公開している
- 顧客のパスポートや免許証などの身分証明書をクラウド上に保存している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
クラウドストレージ(S3等)のアクセス権限設定を定期的に監査し、パブリックアクセスが意図せず有効になっていないか確認すること。特に個人情報を扱うバケットには厳格なIAMポリシーを適用し、最小権限の原則を徹底すること。