クラウドマーケットプレイスのPax8、1,800社のMSPパートナーに関するデータを誤って露出

クラウドマーケットプレイス兼ディストリビューターのPax8は、MSPの顧客およびMicrosoftライセンスデータを含む社内業務情報が記載されたスプレッドシートを添付したメールを、英国拠点のパートナー40社未満に誤って送信したことを確認した。

Pax8は急成長中のクラウドコマース・マーケットプレイスで、従業員は1,700人超、世界で47,000社以上のパートナーを抱え、18か国で事業を展開している。同社は最近、年間売上高が20億ドルを突破し、特に欧州で力強い成長を遂げている。

CSVが顧客およびライセンスデータを露出

「Potential Business Premium Upgrade Tactic to Save Money（Business Premiumへのアップグレードで節約するための可能な戦術）」と題したこのメールは、EMEA拠点の戦略アカウントマネージャーにより1月13日に送信され、CSVの添付ファイルが含まれていた。

Pax8によると、このファイルには約1,800社のパートナーに影響する社内の価格設定およびMicrosoftプログラム情報が含まれており、主に英国、さらにカナダの1社が対象だったという。これが誤って英国拠点の受信者40社未満に配布された。

このメッセージを受け取ったMSPはBleepingComputerに対し、CSVファイルには顧客組織名、Microsoft SKU、ライセンス数、そしてNew Commerce Experience（NCE）の更新日が記載されていたと語った。

複数の受信者がBleepingComputerに直接共有した痕跡から、流出したスプレッドシートには56,000件を超えるエントリが含まれ、次のようなフィールドがあったことが分かった：

• パートナー名およびID
• 顧客名および ID
• ベンダー名および製品名
• 総予約額および純予約額
• 通貨別合計数量
• 地域
• アカウントオーナー
• プロビジョニング日
• キャンセル計上日
• 郵便番号
• 取引種別
• コミットメント期間終了日

メール送信後まもなく、送信者はメッセージの取り消しを試み、その後、元のメッセージと添付ファイルを削除するよう受信者に求める別のメールを送って、誤送信であったことを認めた：

フォローアップ通知でPax8は、ファイルには個人を特定できる情報は含まれていないが、MSPの価格設定およびMicrosoftプログラム管理データを明らかにし得る限定的な業務情報が含まれていたとパートナーに伝えた。顧客ポートフォリオやライセンスのフットプリントを含むこうした情報は、通常、そのテナントを管理するMSPとPax8自身にしか見えないはずのものだ。

複数の受信者が、Pax8のフォローアップ文面をBleepingComputerに共有した：

脅威アクターがデータセットを求めているとの報告

BleepingComputerはまた、業界筋から、脅威アクターが影響を受けた一部のMSPに接触し、露出したデータセットのコピーを購入したいと持ちかけていることを把握した。

こうした情報は、競合他社にとってもサイバー犯罪者にとっても価値があり得る。競合するMSPにとっては、このリストから、どの組織がディストリビューターとしてPax8を利用しているか、各顧客のMicrosoft環境の規模、契約更新のタイムライン、そして支払われている価格帯までが明らかになる可能性がある。これらのデータは、競合上のターゲティングや顧客の引き抜きに利用され得る。

脅威アクターにとっては、このデータセットは高品質なターゲットリストとして機能し、特定のMicrosoft製品を運用している組織、導入規模、そしてその環境を管理しているMSPを特定できる。これにより、より説得力のあるフィッシングキャンペーン、ビジネスメール詐欺（BEC）の試み、あるいはライセンス更新や契約交渉のタイミングに合わせた恐喝行為が可能になり得る。

BleepingComputerは公開前にPax8のメディアチームへコメントを求めたが、掲載されていた報道窓口宛てのメッセージは繰り返し返送された。さらに、コミュニケーションチームのメンバー、サポートデスク、[email protected]の受信箱、そして本件に詳しい関係者にも追加コメントを求めて連絡した。