あなたのパスポートが丸見えだったかもしれない
A Japanese Hotel Startup Accidentally Put 1 Million Passports on the Open Internet
日本でも大規模なデータブリーチ
日本のホテルで使われているチェックインシステムが、100万人以上の個人情報をパスワードなしでインターネット上に公開していた――そんな出来事が2026年5月に明らかになりました。
対象は「Tabiq(タビック)」というサービス。タブレットやスマホでチェックインできる便利なシステムで、日本全国のホテルで使われています。ところが、そのデータ保存先がパスワードなどの保護がない、いわば鍵のかかっていない状態になっていたのです。
流出していた情報は、パスポートの写真・運転免許証・顔認証用の自撮り・名前・住所・生年月日・口座番号など。期間は2020年〜2026年の6年分で、100万人分にもなるということです。
イメージとしては「大切な書類をネット上に丸見えで置き忘れた」状態。しかも、探せば誰でも見つけられるデータベースに自動で登録されており、誰でも閲覧可能だったそうです。
問題はすでに修正されていますが、誰かが先にデータを取得していた可能性は否定できません。
気になる方はこの3つを確認してみてください
① ホテルがTabiqを使っていたか確認する フロントへの問い合わせか、公式サイトで確認できます。
② 不審なメールや連絡に注意する パスポート情報は偽造IDや詐欺に悪用されやすい情報です。
③ 金融機関やカード会社に身に覚えのない動きがないか確認する 万一に備えて、利用明細を一度チェックしてみましょう。
「デジタルチェックインで便利に」の裏には、こういうリスクが潜んでいることもあります。過去6年に日本のホテルに泊まった方は、ぜひ一度確認してみてください。
なぜこのようなことが起きたのか
このタビックというシステムは「リクリエ」というスタートアップ企業が開発したもので、この件について同社は現在調査中とのことです。同社が使っていたAWSのストレージはデフォルトではプライベートの設定のはずなので、テストか何かで一時的にパブリックにしたものがそのまま間違って本運用の設定に含まれてしまったとか、そんな感じの見逃しだったのかもしれません。残念ながら開発元によるミスはけっこう起こります。通常はセキュリティテストを行なってこういう脆弱性を見つけるわけですが、今回はすべてをチェックする時間がなかったのでしょうか。
参考:TechCrunch(2026年5月)、SecurityAffairs、cybersecurity-info.com