スペインのカンナビスクラブ向け会員管理ソフトウェアを提供するアイルランド企業・Cannabis Club Systems(CCS、旧称:Nefos Solutions)が、約98万5,000件ものパスポートや運転免許証などの身分証明書画像を、パスワードも認証も不要な公開URLで放置していたことが明らかになった。米テクノロジーメディア「The Verge」のシニアエディター、Sean Hollister氏が2026年6月10日に詳細を報じた。

なぜこの事件が注目されるのか

今回の流出は、単純なデータ漏洩では済まない規模と深刻さを持つ。曝露されたのは以下の情報だ。

  • パスポート・運転免許証など高価値な身分証明書画像(約98万5,000件)
  • 電話番号・自宅住所
  • 大麻の銘柄の好みや月間消費量というセンシティブな行動データ
  • クラブとメンバー間のプライベートチャットメッセージ

The Vergeの報告によると、URLは https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg という単純な連番構造で、ブラウザに数字を打ち込むだけで見知らぬ他人のパスポートが閲覧できた。米国からの訪問者3万人分のデータも含まれており、著名人の記録も存在するという。クラブには毎日5,000件の新規身分証明書が追加され続けていた。

The Vergeが報じた脆弱性の全容

セキュリティ研究者のSammy Azdoufal氏がスペインのカンナビスクラブ向けアプリ「PuffPal」を解析し、以下の深刻な脆弱性を発見したとThe Vergeは伝えている。

主な脆弱性:

  • PuffPalアプリのバイナリ内にStripe決済プラットフォームのシークレットキーが平文で記述
  • ユーザーIDを1ずつ変えるだけで任意のメンバープロフィールにアクセスできるIDOR(安全でない直接オブジェクト参照)脆弱性
  • 管理者ポータルが公開インターネットから直接アクセス可能で、クラブのアカウントパスワードは現代のGPUで数分でクラック可能な強度
  • 身分証明書画像が推測可能な公開URLにそのまま保存

Azdoufal氏はThe Vergeに「できるだけ早く対処しなければならない。見つけた人間が転売する。実害が出る」と語ったという。The Vergeが連絡してから約1ヶ月後、NefosはPuffPalシステムと脆弱なAPIを修正が完了するまで全面停止すると発表した。

なお、The Vergeの報告では、Azdoufal氏が今回の調査にClaude Codeを活用したと触れられている。同研究者はこれ以前にも、DJI Romoロボット掃除機や100万台のベビーモニター・防犯カメラの脆弱性発見に同手法を用いており、AIエージェントがセキュリティリサーチの現場でも実践的なツールとなっていることが伺える。

日本市場での注目点

今回の事件はスペインの話だが、示唆する問題は普遍的だ。日本でも会員管理・本人確認(eKYC)サービスを提供するSaaSは多い。

SaaS開発者・事業者が学ぶべき点:

  • ストレージURLの設計: Azure Blob StorageやAWS S3などに保管するファイルは「パブリック非公開」をデフォルトとし、アクセスには署名付きURL(SAS/Presigned URL)を使う。今回のような連番の公開URLは最初から排除できる問題だ
  • シークレット管理: アプリのバイナリにAPIキーを埋め込む行為は基本的な知識で防げる。Azure Key VaultやAWS Secrets Manager、最低でも環境変数による管理が必須
  • IDOR対策: リソースIDに予測不可能なUUIDを使い、アクセス制御を実装するのはセキュリティ設計の基本中の基本

事業者がSaaSを選定する際には「身分証明書データはどこにどのように保存されるか」「アクセス制御はどう設計されているか」を具体的に確認することを強く推奨する。

筆者の見解

今回の事件で最も問題なのは、技術的な稚拙さそのものというよりも、単一ベンダーの判断がスペイン中のクラブとその会員全員のリスクに直結していたという構造だ。SaaSを採用する事業者が「セキュリティはベンダー任せ」で済ませると、今回のように自社の顧客が被害者になる。

また、この脆弱性を発見したのがAIエージェントを活用した研究者だったという事実は重要だ。セキュリティリサーチの生産性はAIによって大幅に向上しており——それは残念ながら攻撃者側も同様だ。「脆弱なシステムは以前より速く発見・悪用される」という現実を、開発者・事業者は真剣に受け止める必要がある。

システムを守る仕組みを最初から設計に組み込む、いわゆる「セキュリティ・バイ・デザイン」の重要性は年々高まっている。今回の件は、その実践を怠った場合に何が起きるかを如実に示した事例として、業界全体への教訓になるだろう。

出典: この記事は Nearly a million passports and photo IDs were left unprotected on the public internet の内容をもとに、筆者の見解を加えて独自に執筆したものです。