フォトブース企業のウェブサイトにセキュリティ欠陥が発覚

フォトブースメーカーのウェブサイトに単純な欠陥が見つかり、顧客の写真や動画がオンライン上に露出していることが明らかになりました。セキュリティ研究者のZeacer氏がTechCrunchに報告したところによると、この欠陥はHama Film社のウェブサイトに存在し、同社はオーストラリア、アラブ首長国連邦、米国でフランチャイズを展開しています。

脆弱性の詳細と企業の対応

Zeacer氏は昨年10月にHama Film社にこの脆弱性を報告しましたが、同社からの返答はありませんでした。その後、TechCrunchにも情報を提供。Zeacer氏が共有したサンプル写真には、フォトブースでポーズをとる若者たちが写っていました。Hama Film社のブースは、写真を印刷するだけでなく、顧客の写真を同社のサーバーにアップロードする仕組みとなっています。

Zeacer氏によると、当初、写真は2〜3週間でサーバーから削除されていましたが、現在は24時間で削除されるよう変更されています。しかし、これは一時的な対策に過ぎず、ハッカーは毎日この脆弱性を悪用し、サーバー上のあらゆる写真や動画をダウンロードできる状態が続いていました。悪用を防ぐため、TechCrunchは脆弱性の具体的な詳細を伏せています。

企業の無視とセキュリティ対策の欠如

Hama Filmの親会社であるVibecast、およびその共同創設者であるJoel Park氏は、TechCrunchからの複数回のコメント要請に応じませんでした。Zeacer氏が最初にこの欠陥を発見した際、メルボルンにあるHama Filmのブースでは1,000枚以上の写真がオンライン上に存在しているのを確認したと述べています。金曜日の時点でも、Zeacer氏はこのセキュリティ欠陥が完全に解決されておらず、顧客データが依然として露出していると指摘しています。

この事件は、レートリミット（短期間におけるリクエスト回数制限）のような基本的で広く受け入れられているセキュリティ慣行が導入されていない企業の新たな事例として注目されます。先月、TechCrunchは政府請負業者であるTyler Technologiesのウェブサイトでも同様のレートリミットの欠如を報告しており、ユーザーの個人情報が危険に晒される事態が続いています。

顧客データ保護の重要性

今回のHama Filmのケースは、企業が顧客の個人情報を適切に保護するための基本的なセキュリティ対策の重要性を改めて浮き彫りにしています。特に、顔写真のようなデリケートなデータを取り扱う企業においては、顧客の信頼を維持するためにも、セキュリティの強化が喫緊の課題となっています。

元記事: https://techcrunch.com/2025/12/12/flaw-in-photo-booth-makers-website-exposes-customers-pictures/