2026年5月15日、TechCrunch(記者:Zack Whittaker氏)が報告したところによれば、日本を拠点とするスタートアップ株式会社リクリエ(Reqrea)が運営するホテルデジタルチェックインシステム「Tabiq(タビック)」で、顧客の個人情報が保存されているAmazonクラウドストレージ(S3バケット)が認証不要で誰でも閲覧可能な公開状態になっていたことが明らかになりました。
同バケットには100万件超のパスポート・運転免許証・顔認証に使われた自撮り写真が含まれており、ファイルは2020年初頭から2026年5月にかけてのものでした。TechCrunchが株式会社リクリエ(Reqrea)およびJPCERT(一般社団法人JPCERTコーディネーションセンター)に連絡した後、バケットは非公開に変更されています。
【この記事のサマリー】
- 露出内容:パスポート・運転免許証・顔認証用の自撮り写真を含む100万件超の個人情報。氏名・住所・生年月日・パスポート番号・免許証番号・顔写真を含む。
- 原因:高度なサイバー攻撃ではなく、TechCrunchの報告によれば「クラウドストレージの公開設定(ミスコンフィギュレーション)」。株式会社リクリエ(Reqrea)もどのようにバケットが公開状態になったか把握していないとしている。
- 発見者:独立系セキュリティ研究者のAnurag Sen氏が発見し、TechCrunchに通報。
- 対応:TechCrunchが株式会社リクリエ(Reqrea)とJPCERTに連絡後、バケットは非公開に変更された。
- 株式会社リクリエ(Reqrea)取締役の発言:「外部の法律顧問や専門アドバイザーの支援を受け、露出の全容を確認するための詳細な調査を実施中」(取締役・Masataka Hashimoto(橋本 将崇)氏、TechCrunchへのメールで)。
- 影響の範囲と未確認事項:ファイルは世界各国のホテル宿泊者のものを含む。不正アクセスがあったかどうかは現時点で確認されていない。
目次
Tabiqとはどういうシステムか
Tabiqは、株式会社リクリエ(Reqrea)が開発・提供するホテル向けのデジタルチェックインシステムで、日本国内の複数のホテルで利用されています。同社のウェブサイトによれば、Tabiqは顔認証技術と身分証明書のスキャン機能を組み合わせてチェックイン手続きを行うシステムです。
ホテル宿泊者はチェックイン時に顔写真付きの政府発行書類(パスポート・運転免許証等)をシステムに提示・スキャンし、本人確認を完了する仕組みになっています。この種の「本人確認(KYC:Know Your Customer)」の仕組みは、ホテルが宿泊者確認や年齢確認のために広く採用しており、第三者のテクノロジーベンダーに証明書類のデータを預ける形態が一般的です。
何が、どのように露出していたか
TechCrunchの報告によれば、発見者のAnurag Sen氏は、Tabiqのシステムが使用しているAmazonクラウドストレージ(S3バケット)の1つがパスワード不要で公開状態になっていることを確認しました。バケット内のファイルリストには以下が含まれていたとされています。
| 項目 | 内容 |
|---|---|
| 期間 | 2020年初頭〜2026年5月 |
| 書類の種類 | パスポート・運転免許証・顔認証用の自撮り写真 |
| 個人情報 | 氏名・住所・生年月日・証明書番号・顔写真 |
| 対象者 | 世界各国のホテル宿泊者 |
| 件数 | 100万件超 |
このバケットの情報はGrayHatWarfare(公開状態のクラウドストレージをインデックス化する検索可能なデータベース)にも捕捉されていたとTechCrunchは報告しています。
なぜ「設定ミス」の問題は繰り返されるのか
TechCrunchのWhittaker氏が指摘した通り、AmazonのS3バケットはデフォルトで非公開に設定されています。
さらに数年前に公開設定のバケットによる情報漏洩事案が相次いだことを受け、Amazonはデータを公開する前に複数の警告プロンプトを表示する仕組みを追加しており、意図せず公開状態になりにくくなっています。
それにもかかわらずこのような事案が発生した点について、株式会社リクリエ(Reqrea)は「どのようにバケットが公開状態になったか把握していない」と述べています。
本件はゼロデイ脆弱性の悪用やランサムウェアによる攻撃といった高度な技術的手法によるものではなく、「設定ミス(ミスコンフィギュレーション)という基本的なサイバーセキュリティのベストプラクティス不徹底」によるものである点が、TechCrunchも強調しています。先端のAI活用脆弱性発見やセキュリティ能力についての議論がある一方で、規模の大きなセキュリティ事案の多くが依然としてヒューマンエラーや設定ミスから発生していることを本件は改めて示しています。
株式会社リクリエ(Reqrea)の対応と現在の状況
TechCrunchが株式会社リクリエ(Reqrea)およびJPCERT(一般社団法人JPCERTコーディネーションセンター)に連絡した後、バケットは非公開に変更されています。
同社取締役のMasataka Hashimoto(橋本 将崇)氏はTechCrunchへのメールで「外部の法律顧問やその他のアドバイザーの支援を受けて、露出の全容を確認するための詳細な調査を実施している」と述べました。
現時点で確認されていないこととして、露出が始まった正確な時期(ファイルが公開状態になった時点)は不明で、露出期間中に第三者が実際にデータにアクセスしたかどうかも確認されていません。データが悪用された被害の報告もありません。
パスポート・免許証の露出が深刻な理由
クレジットカード番号は再発行できますが、パスポート番号・運転免許証番号・生年月日・顔写真といった情報は比較的変更が難しく、一度流出すると長期間にわたって悪用リスクが続きます。
氏名・住所・生年月日・顔写真・証明書番号の組み合わせは、なりすまし・身元詐称・標的型フィッシングに必要なほぼすべての情報を含んでいます。また顔写真・顔認証の自撮り画像がセットで露出している場合、ディープフェイクや生体認証の迂回への悪用リスクも生じます。
関連:ハッカーが日本の運転免許証など2万件超を販売か-eKYC関連から個人情報漏洩の恐れ
ホスピタリティ業界における個人情報流出事案の背景
TechCrunchによれば、今回の事案はホテルおよびホスピタリティ関連企業における顧客の政府発行証明書類の露出・流出が続く一連の事案の最新事例です。
政府が年齢確認義務化を拡大し、企業が本人確認のためにKYCチェックを採用する流れが加速する中、宿泊者が証明書類をサードパーティ企業にアップロードするケースが増えています。しかし、セキュリティ専門家からは「本人確認のために宿泊者に第三者へ書類をアップロードさせる仕組みが広がる一方、その書類の管理水準には依然として課題がある」という批判が続いています。
関連:Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意【2026年4月】
宿泊施設・テクノロジーベンダーへの示唆
今回の事案はホテルが第三者ベンダーに宿泊者の最も機微なデータを預ける形態が広がっている現状と、多くのホテルがそうしたシステムを適切に監査するための技術的専門性を持ち合わせていないという課題を浮き彫りにしています。
ホテルがデジタルチェックインシステムを導入する際には、ベンダーのクラウドストレージ設定・暗号化・アクセス制御・データ保持ポリシー・インシデント対応計画を定期的に審査することが不可欠です。「ベンダーが安全に管理してくれているはず」という前提は、今回のような設定ミスによる事案を防ぐことができません。








