Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に | ScanNetSecurity
2026.07.14(火)

Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

 株式会社リクリエは6月30日、同社が提供する電子チェックインシステム「Tabiq」での個人情報の取り扱い不備について発表した。

インシデント・事故
トップページ
  • トップページ
  • リリース(「Tabiq」における個人情報の取り扱いに関する お知らせとお詫び)
  • リリース(本事象発生の原因および当社の対応)
  • リリース(お問い合わせ窓口)

 株式会社リクリエは6月30日、同社が提供する電子チェックインシステム「Tabiq」での個人情報の取り扱い不備について発表した。

 これは「Tabiq」で利用者の本人確認書類画像等を保存していたクラウドストレージ(Amazon S3)の設定に不備があり、外部から第三者がアクセス可能な状態となっていたことが5月13日に判明したというもの。

 対象となるのは、2020年1月20日から2026年5月14日の間で同社が「Tabiq」で取得した1,060,338人分の利用者の顔写真、署名画像、パスポートや運転免許証等の本人確認書類の画像。

 同社では、セキュリティ対策の実施や委託元への報告を行うとともに、対象となる利用者への個別通知の準備を進めている。

 同社では5月14日に、当該データへの外部からのアクセスを遮断する措置を完了している。

 同社で第三者機関によるフォレンジック調査を実施した結果、現在までの間に同社が保有するセキュリティ監視の記録上、「Tabiq」利用者の情報が不正に取得され、悪用された等の二次被害が発生した事実は確認されていない。

 同社では下記の再発防止策を実施および推進するとのこと。

・システム権限の厳格化と監査:全IAMユーザーおよび権限設定の棚卸し、バケットポリシーとACLの監査・見直しを行い、最小権限の原則に基づく再設計を実施。

・監視体制の強化:アクセスログを取得し追跡可能な状態を構築したほか、クラウド設定診断(CSPM)の実施、脅威検知サービスの活用等による監視体制の強化を実施。

・システムの安全性向上:脆弱性診断の実施や、アプリケーション構造の見直し(機密情報の非公開化およびPrivateバケットへの移行)を進める。

・運用フローの改善:社内セキュリティレビューを強化し、本番操作や設計書を作成・共有する開発フローへ変更。

《ScanNetSecurity》

関連記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)

×