TechCrunchが、『本人確認のために預けたパスポートすら“公開Webに置かれていた”』という恐怖の現実を突きつけました
Duc Appで、本人確認のために集めたパスポートや免許証、自撮り、住所、取引情報までが公開状態になっていたとTechCrunchが報道。KYC強化がそのまま巨大な漏えいリスクになる現実が浮き彫りになった。
TechCrunchが、『本人確認のために預けたパスポートすら“公開Webに置かれていた”』という恐怖の現実を突きつけました
カナダの送金アプリ『Duc App』をめぐって、かなり重いセキュリティ事故が報じられました。 TechCrunchによると、Amazon上でホストされていたストレージサーバーが公開状態になっており、ブラウザさえあれば誰でも顧客データにアクセスできる状況だったといいます。
しかも露出していたのは、ただのメールアドレスやログ情報ではありません。 運転免許証、パスポート、自撮り画像、氏名、住所、取引の詳細まで含む、本人確認に直結する機微情報でした。
今回の件で特に怖いのは、『本人確認を強化するために集めたデータ』が、そのまま最大級のリスク源になっていたことです。 金融アプリや送金サービスは、不正利用対策や規制対応のためにKYC(本人確認)を強めています。
ユーザー側も、サービスを使うために半ば当然のようにパスポートや免許証をアップロードします。 でも、その前提は“事業者が最低限ちゃんと守ってくれる”ことです。 そこが崩れると、本人確認の仕組みそのものが、逆に個人情報流出の爆弾になります。
TechCrunchが確認した内容では、この公開サーバーには36万件超のファイルが並んでいたとのこと。 ファイルの中には政府発行の本人確認書類だけでなく、本人確認用のセルフィー、顧客名、住所、取引日時、送金内容の詳細を記したスプレッドシートまで含まれていたとされます。
つまり、単発の画像流出ではなく、『本人が誰で、どこに住み、どんな送金をしていたか』までつながりうる情報がまとまっていた可能性があります。 ここまで揃うと、なりすまし、フィッシング、標的型詐欺、別サービスでの本人確認悪用まで、一気に現実味を帯びます。
さらに厄介なのは、データが暗号化されていなかった点です。 記事では、公開された保存領域の中身をそのまま閲覧できる状態だったと説明されています。 要するに、設定ミスが起きたうえに、最後の防波堤になるはずの保護も弱かった。
『アクセス制御が外れても、せめて中身は守られている』という設計になっていなかったなら、被害ポテンシャルは跳ね上がります。 セキュリティの世界では、単一の失敗で全損しないように層を重ねるのが基本ですが、今回はその逆を突かれた形です。
Duc Appを運営するDualesのCEOは、TechCrunchからの連絡を受けて問題を解消したとしています。 ただし、誰がどれだけアクセスしたのかを判定できる技術的手段、たとえばログの有無については明言しなかったと報じられています。
ここも重いポイントです。 流出インシデントでは『見えるところを閉じた』だけでは終わりません。 本当に必要なのは、いつから露出していたのか、第三者アクセスがあったのか、対象者は誰なのか、再発防止策は何か、を追えることです。
もしそこが弱いと、利用者は“何が漏れたかも、どこまで見られたかも分からないまま”長く不安を抱えることになります。
この話が刺さるのは、Duc Appだけの問題ではないからです。 近年は、年齢確認、送金、出会い系、ギグワーク、金融、生成AI系の本人認証まで、あらゆるサービスが公的身分証のアップロードを要求する方向に進んでいます。
事業者は“安全のため”“コンプライアンスのため”と言う。 でもユーザーから見ると、提出先が増えるほど、漏えい先の可能性も増えます。 つまり、本人確認の厳格化はそのまま『高価値データの分散保管先を増やす』ことでもあるわけです。
今回の事故は、その不都合な現実をかなり残酷な形で見せつけました。
しかも、TechCrunchはGoogle Play上でこのアプリのダウンロード数が10万超だと指摘しています。 公開サーバー内のファイル数は36万超。
もちろんファイル数と被害人数がそのまま一致するわけではありませんが、少なくとも“限定的な誤設定”という言い訳では済みにくい規模感です。
テスト用やステージング環境だったという説明も出ていますが、もし本番級の個人データがそうした環境に置かれていたなら、それ自体が運用統制の弱さを示します。 ステージングだから軽い、ではなく、ステージングに本物の個人情報があるなら本番同等に守るべきです。
日本の読者にとっても他人事じゃありません。 海外サービスでも、KYCや本人確認を求められれば、多くの人は深く考えずに身分証を出します。 けれど一度流出した身分証画像は、パスワードみたいに簡単には取り替えられません。
住所や生年月日、顔写真、署名、本人確認番号の一部が組み合わされると、後から別の詐欺や口座開設、闇市場での売買に使われるリスクが長く残ります。 『パスワード変更すれば終わり』ではないのが、本人確認データ流出の最悪さです。
結局このニュースが示しているのは、アプリが求める“安全のための提出”と、利用者が実際に負わされる“漏えい時の痛み”が、まったく釣り合っていないということです。 企業はもっと身分証データを集めたがる。
一方で、保管、暗号化、アクセス制御、ログ監査、削除ポリシーまで本気で整えている会社はどれだけあるのか。 TechCrunchが突きつけたのは、『本人確認が厳しいサービスほど安心』というイメージが、時に完全に逆転するという恐怖の現実です。
今後、私たちが見るべきなのは“本人確認の有無”より、その先のデータ保護体制かもしれません。
この記事が役に立ったら共有してください
TechCrunchが、「処方薬アプリでも顧客対応から崩れる」という恐怖の現実を突きつけました
Hims & Hersが第三者の顧客対応システム侵害を公表。医療記録そのものではなくても、名前・連絡先・問い合わせ内容の流出は十分に重い。AI時代のヘルステックは、アプリ体験より“周辺システム防衛”が問われ始めた。
13時間前TechCrunchが、世界のスタートアップ資金の63%をたった4社が吸い上げたという異常事態を突きつけました
2026年Q1の世界スタートアップ資金調達は2970億ドルと過去最大。そのうち63%をOpenAI、Anthropic、xAI、Waymoの4社が占めた。AI時代の資金市場は「盛り上がっている」のではなく、一部の巨大企業に極端に集中し始めている。
2時間前広告