Tabiq 運営のリクリエ、クラウドストレージ 設定不備で約100万人超の本人確認写真やパスポートなどの画像 情報露出

セキュリティニュース

投稿日時: 更新日時:

Tabiq 運営のリクリエ、クラウドストレージ 設定不備で約100万人超の本人確認写真やパスポートなどの画像 情報露出

ホテル向け電子チェックインシステム「Tabiq(タビック)」を運営する株式会社リクリエは、2026年6月30日、同システムの本人確認書類画像等を保存していたクラウドストレージ(Amazon S3)の設定不備により外部から第三者がアクセス可能な状態となっていた事象について、第三者調査機関によるフォレンジック調査を踏まえた正式な報告を公表しました。

本件は5月15日にTechCrunchが報じ、当サイトでも既報としてお伝えしていた事案で、今回の公式発表により対象人数や対象情報の範囲、調査結果、再発防止策が確定した形です。

サマリー

  • リクリエが2026年6月30日、Tabiqのクラウドストレージ設定不備に関する正式な調査結果を公表
  • 対象人数は1,060,338人で確定。対象期間は2020年1月20日から2026年5月14日まで
  • 対象情報は利用者の顔写真、署名画像、本人確認書類(パスポート・運転免許証等)の画像データのみ。予約情報やクレジットカード情報は対象外と明記
  • 原因はAmazon S3の設定不備。2026年5月13日に判明し、5月14日に外部からのアクセスを遮断
  • 同社が保有するセキュリティ監視の記録上、情報の不正取得や悪用による二次被害は確認されていない
  • 個人情報保護委員会へ5月18日に速報、6月12日に確報を実施。対象者への個別通知を準備中
  • 再発防止策として、IAM権限の棚卸し・監視体制の強化(CSPM導入等)・脆弱性診断・運用フローの改善という4つの方向性を提示
項目 内容
公表事業者 株式会社リクリエ
対象サービス 電子チェックインシステム「Tabiq」
公表日 2026年6月30日
事象の内容 クラウドストレージ(Amazon S3)の設定不備により、外部から第三者がアクセス可能な状態に
判明日 2026年5月13日
アクセス遮断日 2026年5月14日
対象期間 2020年1月20日〜2026年5月14日
対象人数 1,060,338人
対象情報 利用者の顔写真、署名画像、本人確認書類(パスポート・運転免許証等)の画像データ。予約情報・クレジットカード情報は対象外
個人情報保護委員会への報告 速報:2026年5月18日、確報:2026年6月12日
二次被害 セキュリティ監視の記録上、不正取得・悪用の事実は確認されず
再発防止策 システム権限の厳格化と監査、監視体制の強化、システムの安全性向上、運用フローの改善

何が起きたか

本件は2026年5月15日にTechCrunchの記者Zack Whittaker氏が報じたことで明らかになった事案です。リクリエが運営するホテル向けデジタルチェックインシステムTabiqで使用しているAmazon S3のクラウドストレージが、認証なしでアクセスできる状態になっていたというものでした。

当サイトでも同時期に速報をお伝えしていましたが、当時はリクリエが調査中とコメントするにとどまり、対象人数や対象情報の正確な範囲は確定していませんでした。

今回6月30日付で公表された正式な報告により、これらの点が確定しました。

リクリエの説明によれば、2026年5月13日に同社が利用するクラウドストレージに保管していた利用者の本人確認書類画像等の一部について、外部から第三者がアクセス可能な状態となっていたことが判明し、翌5月14日に外部からのアクセスを遮断する措置を完了しています。

誤設定により外部アクセス可能だった情報

対象となったのは2020年1月20日から2026年5月14日までの6年間に同社が取得した情報で、

  • 利用者の顔写真
  • 署名画像
  • パスポートや運転免許証等の本人確認書類の画像データ

が該当し、対象人数は1,060,338人と確定しました。

なお、予約情報やクレジットカード情報など画像データ以外の情報は対象に含まれていなかったことも明記されています。

原因

リクリエは原因について、同社が利用するクラウドストレージ(Amazon S3)の設定に不備があったことによるものと説明しています。

Amazon S3のバケットは標準で非公開設定となっており、公開状態に変更する際には複数の警告が表示される仕様になっていますが、本件が発生した具体的な経緯については公表内容では明らかにされていません。

サーバサイドエンジニアとしてクラウド環境を用いたシステム開発に携わってきた経験から言えば、こうしたクラウドストレージの公開設定による情報露出は、

開発・検証環境での一時的な設定変更がそのまま放置されたり、

IAM権限の設計が複雑化する中で意図しない公開範囲が生じたりすることで起こるケースが少なくありません。

リクリエが再発防止策の筆頭にIAMユーザーや権限設定の棚卸し、バケットポリシーとACLの監査を挙げている点からも、権限管理の見直しが課題となっていたことがうかがえます。

同様インシデント事例:WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表

調査結果と今後の対応

リクリエは本事象の発生を認識した後、個人情報保護法に基づき2026年5月18日に個人情報保護委員会への速報を行うとともに、第三者機関によるフォレンジック調査を実施しました。その結果を踏まえ、6月12日に個人情報保護委員会への確報を行っています。

現時点で、同社が保有するセキュリティ監視の記録上、対象情報が不正に取得され悪用されたといった二次被害が発生した事実は確認されておらず、外部からそうした被害の報告も受けていないとしています。また、5月14日のアクセス遮断措置以降、外部からのアクセス履歴も確認されていません。

再発防止策としては、

全IAMユーザーおよび権限設定の棚卸しとバケットポリシー・ACLの見直しによる最小権限の原則に基づく再設計、

アクセスログの取得とクラウド設定診断(CSPM)の実施や脅威検知サービスの活用による監視体制の強化、

脆弱性診断の実施とPrivateバケットへの移行によるシステムの安全性向上、本番操作や設計書の作成・共有プロセスを組み込んだ運用フローの改善という4つの方向性が示されています。

対象となる利用者への個別通知についても、現在準備が進められています。

情報システム部門が押さえておくべきポイント

本件は、不正アクセスやランサムウェアのような攻撃者による能動的な侵入ではなく、クラウドストレージの権限設定という基本的な部分の不備が原因で発生した点が特徴です。

パスポートや運転免許証のような本人確認書類の画像は、クレジットカード番号と異なり再発行や変更が難しい情報であり、一度漏えいするとなりすましや標的型フィッシングに悪用されるリスクが長期間続きます。リクリエ自身も、身に覚えのない不審な連絡(メール・電話・郵便等)には十分注意するよう呼びかけており、同社がパスワード変更や金銭の支払いを求めることはないとしています。

自社や委託先がクラウドストレージを利用して本人確認書類等の機微な画像データを保管している場合、バケットの公開設定の有無だけでなく、IAM権限の棚卸し、アクセスログの取得状況、CSPMのようなクラウド設定診断ツールの導入状況を定期的に点検することが重要です。ホテルのデジタルチェックインに限らず、KYC(本人確認)の仕組みを第三者ベンダーに委託しているケースでは、ベンダー側の設定管理体制を契約時・運用時の両方で確認しておくことをおすすめします。

出典