Pax8が機密情報を誤送信、多数のパートナーに影響
急成長中のクラウドマーケットプレイスおよびディストリビューターであるPax8が、約1,800社のMSP(マネージドサービスプロバイダー)パートナーに関する内部ビジネス情報を誤って流出させたことが明らかになりました。この情報が含まれたスプレッドシートは、わずか40社未満の英国を拠点とするパートナーに、誤ってメールで送信されたとのことです。影響を受けたパートナーは主に英国に所在し、1社はカナダのパートナーでした。
流出事件の詳細:顧客およびライセンス情報が露呈
問題のメールは、2026年1月13日にEMEA(ヨーロッパ、中東、アフリカ)地域の戦略アカウントマネージャーによって送信され、「Potential Business Premium Upgrade Tactic to Save Money」という件名でした。これにはCSV形式の添付ファイルが含まれており、内部の価格設定やMicrosoftプログラムに関する情報が約1,800社のパートナーに影響を与えたとされています。
BleepingComputerが報じたところによると、このCSVファイルには以下の情報が56,000件以上含まれていました:
- パートナー名とID
- 顧客名とID
- ベンダー名と製品名
- 総売上(グロスおよびネット)
- 通貨
- 合計数量
- 地域
- アカウントオーナー
- プロビジョニング日
- キャンセル予約日
- 郵便番号
- 取引タイプ
- 契約期間終了日
また、このスプレッドシートには、顧客の組織名、Microsoft SKU、ライセンス数、New Commerce Experience(NCE)の更新日なども記載されていたと、メールを受信したMSPが証言しています。
Pax8の迅速な対応と声明
メール送信直後、送信者はメッセージの取り消しを試み、その後、受信者に対し元のメッセージと添付ファイルを削除するよう求めるフォローアップメールを送付しました。Pax8は、このファイルに個人を特定できる情報(PII)は含まれておらず、マーケットプレイスの可用性やセキュリティ管理への影響もないと強調しています。
同社は、以下の対応策を講じたと報告しています:
- 各受信者への直接連絡とメールおよび添付ファイルの削除要請
- 削除および転送禁止の確認要求
- 削除の徹底と完了確認のための1対1のフォローアップコール
- 事件発生経緯の究明と再発防止のための内部調査の開始
Pax8は、パートナーに対して、現時点での追加のアクションは不要であると伝えています。
情報流出がもたらす潜在的脅威
今回の情報流出は、深刻なセキュリティリスクをはらんでいます。業界関係者によると、すでに脅威アクターがこのデータセットの購入を打診しているとの情報もあります。この種の情報は、競合他社にとってもサイバー犯罪者にとっても非常に価値のあるものです。
- 競合他社への利用:Pax8をディストリビューターとして利用している組織、顧客のMicrosoft環境の規模、契約更新のタイミング、価格層などが明らかになり、競争戦略や顧客獲得に悪用される可能性があります。
- サイバー犯罪への利用:特定のMicrosoft製品を使用している組織、その展開規模、管理しているMSPを特定するための高品質なターゲットリストとなり得ます。これにより、ライセンス更新や契約交渉の時期を狙った、より巧妙なフィッシング詐欺、ビジネスメール詐欺(BEC)、恐喝などの試みが可能になる危険性があります。
Pax8は、パートナーの機密情報を保護する責任を認識しており、今後の対応が注目されます。