クラウド請求プラットフォームInvoicelyで大規模なデータ露出
クラウドベースの請求プラットフォーム「Invoicely」において、大規模なデータ露出事故が発生し、世界中の顧客の機密情報が危険にさらされる可能性が浮上しました。露出したデータベースには、Excelスプレッドシート、CSVファイル、PDF、画像など、さまざまな形式の178,519件のファイルが含まれていました。最も懸念されるのは、データベースがパスワード保護も暗号化もされておらず、オンラインで発見した誰もがアクセスできる状態だったという、セキュリティ対策の完全な欠如です。
露出した個人情報と金融情報
Fowler氏の調査により、露出した請求書には、サービスプロバイダー、パートナー、従業員、顧客の氏名、住所、電話番号、納税者番号などの個人特定可能情報(PII)が含まれていることが明らかになりました。さらに、通常のビジネス文書を超えて、データベースには航空券、配車サービス領収書、健康保険記録、医療費支払い情報も保管されていました。発見時のスクリーンショットには、9桁のルーティング番号、口座番号、小切手番号が記載されたスキャンされた小切手も含まれており、金融データの深刻な露出を示しています。
発見とInvoicelyの対応
サイバーセキュリティ研究者のJeremiah Fowler氏が、約180,000件のファイルを含む保護されていないデータベースを発見しました。このデータベースとその内容は、ウィーンを拠点とするソフトウェア企業Stack Holdings GmbHが運営するInvoicelyに帰属するものでした。Fowler氏は責任ある開示プロトコルに従い、直ちにInvoicelyのサポートシステムを通じて連絡を取りました。同社は通知後数時間以内にデータベースへの公開アクセスを制限する迅速な対応を見せましたが、この開示に対する公式な回答は提供していません。
拡大する請求書詐欺の脅威と身元窃盗のリスク
この事件は、請求書詐欺に関する懸念が高まる中で発生しました。2024年のAFP Payments Fraud and Control Surveyによると、2023年には80%の組織が支払いまたは請求書詐欺の試みを経験しており、前年比で15%増加しています。露出した請求書データは、犯罪者が高度な詐欺スキームを企てるためのビジネス関係、支払いプロセス、金融口座に関する詳細な情報を提供します。また、漏洩した税務書類には社会保障番号、生年月日、雇用主の詳細が含まれており、身元窃盗のリスクを高めます。IRSは、2025年の納税シーズン中に約6,000件の不正な納税申告が盗まれた身元情報を使用して行われ、当局が5,400万ドルの不正な還付を阻止したと推定しています。
セキュリティ強化のための推奨事項
機密性の高い金融データを管理する組織に対し、セキュリティ専門家は以下の対策を推奨しています。
- すべての保存情報の暗号化
- 定期的な脆弱性評価の実施
- 継続的な監視システムの維持
影響を受ける可能性のある企業や個人は、関連アカウントのパスワードを変更し、不審な活動がないか信用報告書を監視し、予期せぬ支払い要求を処理する前に公式チャネルを通じて確認すべきです。この事件は、特に世界中の何十万ものユーザーの金融情報や個人情報を扱うクラウドベースのビジネスプラットフォームのセキュリティ確保が極めて重要であることを強調しています。