2026年6月11日 テクノロジーのいまを、2つの言葉で届ける
JA EN
開発

約100万件のパスポートと身分証、無防備に露出 大麻クラブ管理システムに脆弱性

スペインの大麻クラブ向けソフトウェア「Cannabis Club Systems」に深刻な脆弱性が判明。約100万件の写真付き身分証明書がパスワードもなく公開URLに放置されていた。

6分で読める SINGULISM 編集チームが確認・編集

セキュリティデータ漏洩脆弱性パスポート個人情報
約100万件のパスポートと身分証、無防備に露出 大麻クラブ管理システムに脆弱性
Photo by Kit (formerly ConvertKit) on Unsplash

「Cannabis Club Systems」が約100万件の身分証明書を無保護で公開していた

セキュリティ研究者のSammy Azdoufal氏は、スペインの大麻クラブ向け管理システム「Cannabis Club Systems(CCS)」に深刻な脆弱性を発見したと公表した。CCSはアイルランド企業Nefos Solutionsが運営しており、同社が提供する会員管理ソフトウェアのデータベースに、約98万5000件の写真付き身分証明書がパスワードやアクセス制御の一切ない状態で保管されていた。

The Vergeの報道によれば、Azdoufal氏はクラウド型ロボット掃除機やベビーモニターの脆弱性を発見したことでも知られる研究者だ。今回は、大麻クラブ向けの入場管理アプリ「PuffPal」を解析する過程で、同システムのセキュリティ上の重大な欠陥を突き止めた。

発見の経緯と技術的詳細

Azdoufal氏はPuffPalアプリを逆コンパイルしたところ、決済プラットフォームStripeの秘密鍵が平文(plain text)で埋め込まれていることを確認した。さらに、会員のプロフィール情報を一意に識別するID番号を変更するだけで、他の会員のフルネーム、電話番号、住所、写真付き身分証明書(パスポートや運転免許証のスキャン画像)にアクセスできた。

「ブラウザに数文字と数字を入力するだけで、まったくの他人の身分証明書が表示された」とAzdoufal氏は述べている。ドイツ人女性のパスポート、スペイン人男性の運転免許証の表裏、さらに顔写真も含まれており、送信したURLを知る者なら誰でも閲覧可能な状態だった。

データベースには、スペイン国内の大麻クラブ(cannabis club)を訪れた会員約30万人分の記録が含まれていた。国籍はスペイン人が最多だが、アメリカから約3万人の観光客・滞在者の情報も確認されている。著名人や公人の情報も含まれており、喫煙を公にしたくない利用者のプライバシーが深刻に侵害される危険性がある。

影響範囲と残された課題

当該データベースはパブリックなURL上にあり、認証もHTTP基本認証すら設定されていなかった。同氏は発見直後にCCSの運営企業Nefos Solutionsに連絡を取り、緊急対応を促した。

「この情報は悪用される。転売業者が見つければ被害は拡大する」とAzdoufal氏は警告する。特にパスポートには個人の生年月日、国籍、パスポート番号、顔写真が含まれており、本人確認が必要なあらゆるサービスでのなりすましに悪用される可能性がある。

本件は、業務システムにおける「最小権限の原則」と「認証・認可の適切な実装」がいかに重要かを浮き彫りにした。PuffPalアプリの設計では、APIエンドポイントに対してトークンベースの認証が実装されておらず、単純なIDのインクリメントで全ユーザーの全データにアクセス可能という、IDOR(Insecure Direct Object Reference)脆弱性が存在していた形だ。

参考

編集部の見解

短期的影響: スペイン国内の大麻クラブ業界は、クレジットカード決済や本人確認プロセスそのものに対する信頼を失う。CCSを利用する各クラブは、加盟店としてGDPR(一般データ保護規則)違反の調査を受ける可能性が高く、行政制裁や損害賠償請求に発展するリスクがある。規制当局は同種のクラウド型業務システム全般について、抜き打ち調査を強化する方向へ動く可能性も否定できない。

長期的視点: 本件は、業種を問わず「業務SaaSやクラウド型管理システムが、リリース後にセキュリティ監査をまったく受けずに運用されている」という構造問題を可視化した。特に中小規模のクラブ向けシステムは開発リソースが限られるため、APIキーの埋め込みや認証の不在といった初歩的なミスが放置されがちだ。今後、業界横断的な「業務SaaSセキュリティ認証制度」のような自主規制枠組みが求められる。また、Stripe決済連携の秘密鍵が平文でアプリに埋め込まれていた点は、決済業界全体のベストプラクティス再考を促すだろう。

編集部からの問い: 自社の開発するAPIやクラウドサービスにおいて、認証・認可の実装は「リリース時の動作確認」で済ませていないだろうか。また、決済連携や外部APIのシークレット情報は、CI/CDパイプラインやソースコード管理に漏れ出していないと断言できるか。本件が警鐘を鳴らすのは、脆弱性そのものよりも「内部からは見えないデータの露出をいかに検知するか」という組織的なガバナンスの欠如である。

出典: The Verge

執筆

編集・確認 山本 健一郎

最終更新日:

本サイトでは、事実誤認や不正確な情報が見つかった場合、速やかに訂正記事を掲載します。訂正のご依頼はお問い合わせフォームよりご連絡ください。

関連記事

仏政府Tchap侵害、ANSSIが調査 公開チャットのみか 仏政府Tchap侵害、ANSSIが調査 公開チャットのみか

2026年6月9日

npmサプライチェーン攻撃、IronWormが36パッケージを汚染 npmサプライチェーン攻撃、IronWormが36パッケージを汚染

2026年6月5日

マイクロソフト対ゼロデイ研究者、7月14日に「骨砕き」公開予告 マイクロソフト対ゼロデイ研究者、7月14日に「骨砕き」公開予告

2026年5月29日

12ドルのスマートドアベルに致命的な脆弱性、アカウント乗っ取りや通話ハイジャックが可能に 12ドルのスマートドアベルに致命的な脆弱性、アカウント乗っ取りや通話ハイジャックが可能に

2026年5月16日

MD5ハッシュ化パスワードの60%が1時間以内にクラック可能、GPU進化が脅威を加速 MD5ハッシュ化パスワードの60%が1時間以内にクラック可能、GPU進化が脅威を加速

2026年5月8日

NixとLixにローカル権限昇格の脆弱性、セキュリティアドバイザリー発表 NixとLixにローカル権限昇格の脆弱性、セキュリティアドバイザリー発表

2026年5月5日

コメント

← トップへ戻る