- Nextcloudの露出したElasticSearchクラスターには約367,000件(8GB)の記録が含まれており、従業員データ、顧客契約書、スクリプトなどが保存されていました
- 従業員のメールアドレスや顧客企業の詳細情報などの機密情報が暗号化されずに放置されていましたが、Nextcloudは通知を受けてから2日以内にアーカイブを保護しました
- 同社はこのインシデントをホスティングの設定ミスによるものだとし、顧客サーバーには影響がなかったと強調していますが、研究者は攻撃者がデータにアクセスした可能性があると警告しています
欧州のクラウドプロバイダーNextcloudが、保護されていないデータベースを公開インターネット上に放置しており、機密性の高い社内・顧客データが場所さえ知っていれば誰でもアクセスできる状態になっていたことが、専門家の調査で明らかになりました。
Nextcloudは、ユーザーが自分専用のプライベートクラウドを構築できる無料のオープンソースプラットフォームです。データの保存場所をユーザー自身が管理できることから、Google DriveやMicrosoft 365の代替として紹介されることも少なくありません。
2026年5月中旬、Cybernewsのセキュリティ研究者が、一般公開状態になっていたElasticSearchクラスターを発見しました。詳しく調査したところ、そこには約367,000件の記録(データ量は合計8GB)が含まれていることが判明しました。このアーカイブには、Nextcloudの従業員データ、顧客企業のデータ、契約書、そして同社の顧客向けに構築されたスクリプトなどが混在していました。
Nextcloudの対応
流出したファイルの大半は.PDF形式(71,000件)で、次いで.PNG形式(53,000件)、.MD形式(23,000件)と続きます。露出していた記録はすべて単一のインデックス内に保存されており、一部には顧客企業の情報のほか、Nextcloudの従業員に関するデータも含まれていました。これらの情報の一部は暗号化されておらず、従業員のメールアドレス、顧客企業の名称・住所、さらにNextcloudに請求書を送付した個人のメールアドレスなどが露出していました。
CybernewsがNextcloudに連絡したところ、同社は2日以内にアーカイブを封鎖し、関係当局にも通知しました。同社は不正アクセスの証拠は見つからなかったとしていますが、詳細なフォレンジック分析を行わない限り、それが本当かどうかを断定することはできません。
「私たちのチームがこの露出したデータセットを発見できたということは、脅威アクターも同様に発見できた可能性があります」とCybernewsのチームは記しています。「悪意ある攻撃者は、設定ミスによって盗み出せるデータがあるデータベースをまさに探し回るため、web上で数多くのボットを運用しています。」
また同社は、これはあくまで設定ミスの問題であり、自社サービス自体は安全であるとも述べています。「今回の問題は、当社のホスティングインフラの設定ミスによって発生したものであり、Nextcloudのソリューション自体に起因するものではありません。当社の顧客、パートナー、その他のユーザーが所有する他のNextcloudサーバーは、今回の問題による影響を一切受けていません」と、同社の広報担当者は研究者らに語っています。