2026年5月15日、ホテル向けデジタルチェックインシステム「Tabiq(タビック)」で、顧客の個人情報が誰でも閲覧可能な状態になっていたことが明らかになった。
同システムは日本国内の複数ホテルで利用されており、顔認証と書類スキャンを活用したチェックインサービスとして運用されている。
システム運営の「リクリエ(Reqrea)」社によると、問題となったのはAmazon S3(Amazon Web Servicesが提供するクラウドストレージサービス)のバケットで、認証なしにアクセスできる公開設定となっていたこととされている。
このバケットには2020年初頭から2026年5月までの宿泊客データが保存されており、影響件数は100万件を超えていたとのことで、氏名、住所、生年月日、パスポート番号、運転免許証番号、顔認証用の自撮り写真などが含まれており、主にパスポートや運転免許証の画像ファイルだったという。
外部のセキュリティ研究者がこの公開状態を発見し、米メディアTechCrunchに通報。
その後TechCrunchがリクリエ、一般社団法人JPCERTコーディネーションセンター(セキュリティインシデント対応の専門組織)に連絡したことで、バケットは非公開設定に変更されている。
リクリエの取締役は「外部の法律顧問やアドバイザーの支援を受け、全容確認のための詳細調査を実施中」と回答。
同社はバケットが公開状態になった経緯を把握しておらず、調査完了後に影響を受けた個人への通知を予定している。
現在、第三者による不正アクセスの有無についても確認を進めているが、明確な悪用報告は確認されていない。
この事例は、クラウドストレージのアクセス制御設定が不十分だったことによるもので、高度なサイバー攻撃ではなく設定ミスが直接の原因だった。
Amazon S3はデフォルトで非公開設定だが、公開設定の警告が表示されるにもかかわらず発生した点が指摘されている。
2026年5月25日時点で、追加の公式発表や被害者への個別通知に関する詳細は公表されていない。
【参考】
https://techcrunch.com/2026/05/15/a-hotel-check-in-system-left-a-million-passports-and-drivers-licenses-open-for-anyone-to-see/
https://securityaffairs.com/192302/data-breach/public-amazon-bucket-leaks-sensitive-guest-data-from-japanese-hotel-platform-tabiq.html