- 第三者運営の英国ビザポータルサイトが、セキュリティ保護のないクラウドリポジトリに10万件のドキュメントを公開状態のまま放置
- 流出した個人識別情報(PII)にアクセスしたサイバー犯罪者による、なりすましや詐欺被害の可能性
- 被害者は各種アカウントの保護・監視を行い、通知を待つよう勧告
英国政府の公式サービスとは別に運営されている第三者サイト「UK Visa Portal」が、大規模なデータ漏洩事件により数千件にのぼる極めて機密性の高い書類を公開状態のまま放置していたことが報告されています。
流出した書類や情報には、パスポート、写真、本人確認用自撮り画像、その他の申請情報が含まれており、被害者はなりすまし被害や金融詐欺に広くさらされる状態となっています。
この問題は、パスワード保護のない無防備なサーバーに書類が保存されていたことで発生しており、直接リンクさえあれば誰でもアクセスして閲覧できる状態にありました。
UK Visa Portalの申請情報が露出
このデータ露出は、完全に公開状態となっていたクラウドストレージリポジトリの設定ミスによって引き起こされました。さらに深刻なことに、ファイルのディレクトリ構造に予測可能なURLが使用されていたことも判明しており、攻撃者はリンクを知らない場合でも容易にURLを推測・特定できる状態でした。
漏洩した情報の中でも特に深刻なのは、氏名・パスポート番号・国籍・生年月日・出生地・発行日および有効期限が記載されたパスポートの主要ページです。さらに、自宅住所・連絡先電話番号・メールアドレスなどを含む添付書類により、攻撃者はより多くの個人識別情報を入手できる状態となっていました。
TechCrunchの報道によると、制限なしにアクセス可能な書類は少なくとも10万件にのぼり、2026年5月26日時点でも問題は依然として解消されていませんでした。
被害者の多くは、電子渡航認証(ETA)を取得する正規の手続きだと誤解してこの第三者サイトを利用したと見られています。なお、ETAの申請手続きは英国政府が20ポンドの手数料で直接提供しているサービスです。
このプラットフォームを利用した可能性のある方は、クレジット関連のアカウントを監視・保護するとともに、多要素認証やパスキーなどの追加セキュリティ対策でオンラインアカウントを保護することが推奨されています。また、データ保護法により被害を受けた個人への通知が法的に義務付けられていますが、すでに連絡が取られているかどうかは不明です。
