概要
ペット用品大手Petcoは、同社の獣医クリニックサービス「Vetco Clinics」のウェブサイトの一部を閉鎖しました。これは、セキュリティ上の不備により、数百万件に及ぶ可能性のある顧客の個人情報がインターネット上に公開されていたことが判明したためです。
TechCrunchが情報漏洩をPetcoに報告した後、同社は調査を開始し、声明でデータ流出を認めています。
情報漏洩の詳細
今回のセキュリティ上の欠陥は、VetcoのウェブサイトがPDF文書を生成する方法にありました。顧客ポータル「petpass.com」を通じて獣医療記録などにアクセスできる機能が提供されていましたが、PDF生成ページがパスワードで保護されておらず、公開状態でした。
TechCrunchの調査によると、この脆弱性は「Insecure Direct Object Reference(IDOR)」として分類されるもので、ウェブアドレスの顧客識別番号を操作するだけで、他の顧客の機密ファイルに直接アクセスできる状態でした。Vetcoの顧客番号が連番であったため、数桁変更するだけで容易に他の顧客データに到達可能であり、数百万件に及ぶ可能性のある顧客情報が流出の危険に晒されていたと考えられます。
漏洩したデータには以下の情報が含まれていました:
- 顧客氏名、住所、メールアドレス、電話番号
- 訪問概要、医療履歴、処方箋、ワクチン接種記録
- 獣医クリニックの所在地、医療評価、検査結果、診断
- 費用、獣医名、同意書、所有者の署名、サービス日付
- 動物の名前、種別、品種、性別、年齢、生年月日、マイクロチップ番号
最も古い記録は2020年半ばのもので、この脆弱性が長期間にわたり放置されていた可能性も示唆されています。
Petcoの対応と影響
TechCrunchは金曜日にPetcoにこの問題を報告しましたが、同社がデータ漏洩を認めたのは火曜日でした。Petcoの広報担当者であるVentura Olvera氏は、「システムのセキュリティをさらに強化するための追加措置を実施し、今後も継続していく」と述べましたが、具体的な証拠は提供されませんでした。また、データが流出したかどうかを判断するための技術的手段(ログなど)があるかについてはコメントを控えました。
Vetcoのウェブサイトの一部は現在、情報漏洩を受けてオフラインになっています。
繰り返されるセキュリティ問題
TechCrunchの集計によると、今回の事態はPetcoにとって2025年に入って3度目のデータ侵害となります。これまでの経緯は以下の通りです:
- 今年初め:「Scattered Lapsus$ Hunters」と関連するハッカー集団が、SalesforceでホストされていたPetcoの顧客情報データベースから大量のデータを盗んだとされ、身代金を要求しました。
- 9月:Petcoは、同社が独自に発見したセキュリティ問題を伴う2度目のデータ侵害を公表しました。「ソフトウェアアプリケーション内の一部の設定が、特定のファイルを誤ってオンラインでアクセス可能にした」と説明しましたが、詳細は明らかにしませんでした。この際、社会保障番号、運転免許証、クレジットカード情報を含む機密性の高い顧客情報が流出しました。
今回のVetcoに関するデータ漏洩は、これら以前のインシデントとは別のものと考えられており、Petcoのセキュリティ対策の不備が改めて浮き彫りになっています。