Nefos PuffPal データ漏洩：保護されていない URL から 100 万件のパスポートが流出

複数の欧州諸国からの約 100 万件のパスポートと写真付き身分証明書が公共インターネット上に露出し、直接 URL を知っている誰でもアクセス可能な状態でした。この漏洩は、カンナビス小売店やクラブ向けの会員・年齢確認プラットフォーム「PuffPal」を運営する Nefos が、認証・暗号化・アクセス制御のない公開ウェブサーバーに機密性の高い身分証明書を保存していたことが原因です。

データ保存における重大なセキュリティ失敗

この露出は高度なサイバー攻撃やハッキングの結果ではなく、基本的なデータセキュリティ慣行の根本的な失敗によるものです。文書は数か月間発見可能な状態で放置され、後に削除されました。

セキュリティ研究者は Nefos が使用していたインフラストラクチャにおける 4 つの主要な失敗を特定しました:

• 認証なし: 文書保存システムにパスワード保護が全くなかった。
• 暗号化なし: 機密性の高い本人確認データが生のまま、暗号化されずに保存されていた。
• アクセス制御なし: 文書は認証要件なしで公開 URL からアクセス可能だった。
• 監視不足: 不正アクセスを検知するためのアクセスログや監視システムが導入されていなかった。

身分証明書露出の長期的リスク

パスワードやクレジットカード番号とは異なり、政府発行の身分証明書は即座にリセットや無効化ができません。そのため、対象者は文書が期限切れになるか、長い官僚手続きを経て手動で再発行されるまで、永続的な脆弱性にさらされ続けます。

盗まれたパスポートや運転免許証のスキャンは犯罪者にとって高価値な資産であり、次のような悪用が考えられます:

• 身分盗用: スキャンを利用して不正口座を開設したりクレジットを申請したりする。
• 文書偽造: 正規データを元に偽造文書を作成する。
• アカウント乗っ取り: 他プラットフォームの本人確認チェックを回避するために ID を使用する。

データ管理とコンプライアンスの分析

このインシデントは、付随サービス向けに機密データを扱う企業の体系的な失敗を浮き彫りにしています。今回のケースでは、高価値の認証情報（パスポート）が低価値の認証目的（カンナビスクラブの年齢確認）に使用され、検証プロセス完了後もデータが長期間保持されていました。

GDPR と保存制限

一般データ保護規則（GDPR）では、"保存制限" の原則により、個人データは処理目的に必要な期間を超えて保持してはならないと定められています。コミュニティの議論では、ユーザーの年齢が確認された時点で、パスポートの全スキャンを保持する正当な理由はないと強調されています。

"文書が本人確認と法定年齢の確認に使用された後、その文書のコピーを保持する理由はもうありません。"

結合データのリスク

文書がカンナビス関連プラットフォームから漏洩したため、攻撃者は単なる身分証明書以上の情報を得ました。つまり、個人の法的身元とカンナビスクラブへの会員資格が結び付けられ、盗まれた認証情報にさらにセンシティブな個人情報の層が加わります。

業界への影響

この漏洩は、本人確認のために身分証明書を収集するすべての組織への警告です。"安全な保存" という主張は、NIST コンピュータセキュリティインシデントハンドリングガイドに示されたような技術的制御が実装されていなければ信用できません。Nefos のケースで見られる基本的なセキュリティ対策の欠如は、サービスの機能要件の後回しとしてセキュリティと同意が扱われている、データ管理全体の失敗を示唆しています。