1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ハッカーが日本の運転免許証など2万件超を販売か-eKYC関連から個人情報漏洩の恐れ

ハッカーが日本の運転免許証など2万件超を販売か-eKYC関連から個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

ハッカーが日本の運転免許証 2万件超を販売か-サンプル画像からはeKYC関連から個人情報漏洩漏洩の恐れ

ハッカーフォーラム上で、日本の運転免許証データを2万件超保有しているとうたう投稿が確認されました。投稿文面では2026年時点の日本の運転免許証データを最新データとして掲示し、あわせて世界各国のKYCデータを扱っていることも示しています。

添付された画面を見る限り、これは一般的な意味での犯行声明というより、盗難または不正取得した本人確認データの販売告知に近い内容です。加えて、共有されたサンプル画像には、日本の運転免許証とみられる実物写真が複数含まれており、データが単なる空売りではなく、実際の画像ファイルを伴っている可能性が高い状況です。

概要

フォーラム投稿では、日本の運転免許証データを2万件超保有していると記載され、外部のファイル共有先へのリンクも案内されています。

投稿者は、運転免許証だけでなく、パスポート、IDカード、selfie付きKYCデータなどを世界規模で扱っていると説明しており、単発の日本向け漏えいというより、KYC文書を商品として流通させる地下市場の一部として見えます。

セキュリティ対策Labで確認すると、投稿内容が単なる誇張だけではなく、サンプルとして日本の運転免許証画像を実際に提示されているため注意が必要です。

ハッカーが日本の運転免許証 2万件超を販売か-サンプル画像からはeKYC関連から個人情報漏洩漏洩の恐れ

これにより、少なくとも投稿者が何らかの日本人の本人確認書類画像を保有していることは強く示唆されます。

サンプルデータから見えること

共有されたサンプル画像は、いずれも日本の運転免許証の表面を撮影したものとみられます。画像には氏名、住所、生年月日、免許証番号、交付日、有効期限、顔写真など、本人確認に必要な主要情報が含まれています。

またサンプルでは全て女性の免許証だったため、ロマンス詐欺のアカウント開設など様々な悪用が可能になります

また、画像の撮影状況は統一されていません。

机上、床上、布地の上、膝上など背景がばらばらで、反射や角度の違いも見られます。この特徴からは、同一の公的データベースから一括抽出された画像というより、利用者自身がスマートフォンなどで撮影して提出した本人確認画像が集積されたものとみるのが自然です。

さらに、サンプルには複数の都道府県公安委員会の免許証が含まれ、有効期限も2025年、2026年、2027年、2028年、2029年までと幅があります。比較的新しい交付日の免許証も見られるため、古い流出データの再掲ではなく、比較的新しい時期まで継続的に収集されたデータである可能性があります。

推測できる漏洩元

現時点で、どの企業やサービスから流出したかを特定できる材料はありません。ただし、サンプル画像の性質とフォーラム投稿の売り文句を合わせてみると、最も疑わしいのは本人確認、eKYC、身分証アップロードを扱う周辺事業者です。

具体的には、

  • オンライン本人確認を受託するeKYC事業者
  • 本人確認書類の画像保管を行う委託先
  • 審査業務のBPO、あるいは運転免許証画像を提出させるマッチングサービス提供企業
  • 金融、通信、求人、ギャンブル、中古売買、配送、サブスク系サービスなどの周辺基盤

漏洩元になっている可能性があります。

特に今回のサンプルは、統一的なスキャンデータではなく、利用者提出型の写真データに見える点が重要です。このため、警察や公安委員会の発行システムそのものから漏れたというより、民間側の本人確認ワークフローのどこかで流出した可能性の方が高いと考えられます。

加えて、フォーラム投稿者自身がKYCデータを多国籍に扱うと宣伝しているため、単一企業の侵害というより、複数の漏えい元から集めたデータを再販売している可能性もあります。つまり、漏洩元は一社ではなく、KYCデータの集積、転売、再流通のどこかにある可能性も十分あります。

想定されるリスク

運転免許証画像の流出は、単なる個人情報漏えいより深刻です。氏名や住所が知られるだけでなく、本人確認書類として再利用されるおそれがあるためです。

想定される被害としては、不正口座開設、携帯回線契約、金融サービスのなりすまし申請、各種アカウント乗っ取り時の本人確認突破、闇金融や詐欺グループによる名義悪用などが挙げられます。顔写真付きの公的身分証である以上、他の流出情報と組み合わされると被害の幅は一気に広がります。

また、こうした画像は一度地下市場で流通すると、単発の漏えいで終わらず、何度も転売される傾向があります。そのため、元の漏えい元が特定されても、被害リスクがすぐに消えるわけではありません。

情報システム部門が見るべきポイント

今回の件は、本人確認そのものより、本人確認画像を保管する運用の危険性を改めて示しています。本人確認を実施している事業者は、画像の保管場所、保存期間、委託先の有無、原本画像へのアクセス権限、監査ログ、暗号化、削除ポリシーを見直す必要があります。

特に、生画像をそのまま長期間保管している運用、複数部門や委託先が横断的に閲覧できる構成、クラウドストレージへの安易な集約、審査用データの二次利用は高リスクです。本人確認の実施自体よりも、その後に画像がどこへ流れ、誰が触れられるかが、今回のような漏えいでは本質的な論点になります。

関連:最新事例を解説する無料セキュリティセミナーに申し込む

関連記事

ハッカーが日本の富裕層リストを装いゴルフ用品 購入者の個人情報リストを販売ハッカーが日本の富裕層リストを装いゴルフ用品 購入者の個人情報を販売 【2026年】サイバー攻撃・情報漏洩の最新 事例【2026年】サイバー攻撃・情報漏洩の最新 事例 サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れサイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ 穴吹興産、ランサムウェアで顧客や役職者等の個人情報漏洩の恐れ、Qilinが犯行を主張穴吹興産、ランサムウェアで顧客や役職者等の個人情報漏洩の恐れ、Qilinが犯行を主張 セキュリティインシデントの事例【2024年】セキュリティインシデント 事例【2024年】 サイバー攻撃の事例 【2025年】【2025年】サイバー攻撃の事例 Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセスGoogleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス オムニバス・ジャパンのランサムウェアの被害について第四報を公表オムニバス・ジャパンのランサムウェアの被害について第四報を公表 テイン、ランサムウェアの被害で社員・株主7,304名の個人情報漏えいの恐れテイン、ランサムウェアの被害で社員・株主7,304名の個人情報漏えいの恐れ