Companies Houseは、会社取締役の個人情報やその他のデータがログイン中のすべてのユーザーに露出する「セキュリティ問題」を修正するために、週末全体にわたって記録登記プラットフォームを停止することを余儀なくされました。
英国のすべての企業とその取締役の登記簿を管理する政府機関は、隠れた企業情報が閲覧および変更される可能性があるという報告を受けて、3月13日13時30分(UTC)にWebFilingサービスを一時的に停止しました。
声明で、技術者が欠陥を解決し、WebFilingは本日09時00分にオンラインに戻ったことが確認されました。
この不具合により、取締役は他の企業に属する隠れたデータを読み取り、変更することができましたが、理論的には、誰でもプラットフォーム上に企業を作成してこの欠陥を悪用することができた可能性があります。
「当社の調査により、通常Companies House登記簿に公開されていない個々の企業からの特定のデータが、ログイン中の他のWebFilingユーザーに見える可能性があったことが判明しました」とCompanies House CEO Andy King月曜日に述べました。
「これには生年月日、住所、企業メールアドレスが含まれます。また、別の企業の記録に対して、不正な登記(決算報告書や取締役の変更など)がなされた可能性もあります。」
King氏は、パスワードは他のユーザーがアクセス可能なデータの種類に含まれていなかったこと、またパスポートなどの身元確認に関連するドキュメントも含まれていなかったことを述べました。「既に提出されたドキュメント(決算報告書や確認ステートメントなど)が変更されることはできませんでした。
「当社は、この問題が大量のデータ抽出またはレコードの体系的なアクセスに使用されることはできなかったと信じています」と彼は付け加えました。「アクセスは個々の企業レコードに限定され、登録されたWebFilingユーザーが一度に1つずつ閲覧することが可能でした。」
内部調査により、2025年10月にWebFilingプラットフォームに加えられた変更が予期しない動作をもたらしたことが判明しましたが、3月13日に税務専門家Dan Neidleがこれに最初に注意を向けました。
Tax Policy Associatesの創設者は、ソーシャルメディアにこの欠陥がどのように悪用されて他の企業のデータにアクセスされる可能性があるかを示すビデオを公開しました。
Neidleは、Ghost Mailの運営部門主任John Hewittによってこの欠陥に気付かされ、その後すぐにCompanies Houseに報告したと述べました。
現在は修正されていますが、ログイン中の企業取締役は自分自身のダッシュボードから開始して、別の企業のアカウントにログインしようとすることでこの欠陥を悪用することができました。
2FAブロックに到達すると(これを通過することはできませんが)、必要なのはブラウザの戻るボタンを数回クリックするだけです。通常、ユーザーは自分自身のダッシュボードに戻されますが、このバグは代わりに、ログインしようとしたが失敗した企業に戻されました。
Companies Houseは、情報コミッショナー事務所および国家サイバーセキュリティセンターにこのインシデントを報告し、10月以来この欠陥が実際に悪用されたかどうかについて調査を継続しています。
「別の企業の詳細にアクセスしたり変更したりするためにこの問題を使用した人物の証拠が見つかった場合、当社は厳しく対応します」とKing氏は述べました。
「このインシデントが、当社のサービスに依存している多くの企業や個人に懸念と不便をもたらしたことを認識しています。申し訳ございません。
「Companies Houseは、当社に委ねられたデータを保護する責任を極めて真摯に受け止めています。当社は迅速に行動してサービスを保護・復旧し、影響を受けた方々をサポートし、当社のサービスが引き続き信頼に値することを確保するために全力を尽くすことをお約束します。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/16/companies_house_breach/
