大阪・関西万博ウズベキスタン館の予約システムで最大200件個人情報漏洩|セキュリティニュース

投稿日時: 2025年04月25日更新日時: 2025年04月25日

2025年4月24日、大阪・関西万博に出展しているウズベキスタンパビリオンで、独自に導入していた入館予約システムの障害により、最大200人分の個人情報が外部に流出していたことが明らかになりました。

本記事では、現時点で判明している事実を整理するとともに、情報システム部門として注視すべきポイントや技術的な背景、再発防止の観点から考慮すべき事項について解説します。

事故の概要：QRコードに他人の情報が表示される不具合

ウズベキスタンパビリオンは、4月12日より公式とは別に独自で運用する予約制システムを導入。
来場者は自身の氏名やメールアドレスなどの個人情報を入力し、入館用QRコードを受信する仕組みでした。

しかし、4月24日朝、来場者から「QRコードにアクセスすると他人の情報が表示される」という指摘があり、システムの不具合が発覚。以下のような対応が即時に取られました。

万博協会側は、システム障害の原因や再発防止策について報告を求めているとのことです。

パビリオン側の発表によれば、最大で200人分の個人情報が流出した可能性があるとされています。流出した具体的な情報は以下の通りです。

なお、クレジットカード番号やパスワードなどの機微情報は含まれていないとみられますが、個人識別が可能な情報（PII）が含まれていることから、プライバシー侵害の観点で問題は深刻です。

現時点で詳細な技術分析は公開されていませんが、報道内容から読み取れるポイントをもとに、以下のような技術的な脆弱性が考えられます。

QRコードは通常、予約情報を参照するための一意のURLやトークンを含むものですが、次のような状態があれば、誤って他人の情報が表示されることがあります。

同一サーバー上で生成された予約データに対して、ユーザー認証やアクセス制限が不十分なまま、ブラウザからアクセス可能な状態になっていた可能性もあります。

「短時間に予約登録が急増したことが原因とみられる」との説明もあり、同時アクセス時のデータ整合性や非同期処理の不備が、他人のデータを誤って返す要因になった可能性も否定できません。

一部参照