偽の英国ビザ申請サイトで10万人分のパスポート画像がネット上に「丸見え」に、発覚後の対応は法的脅迫

さらに深刻なことに、これらのファイルにアクセスするためにパスワードや認証は一切不要でした。その結果、パスポートのスキャン画像、本人確認用の自撮り写真（いわゆる「自撮り」）、その他の申請データが、誰でもアクセスできる状態で放置されていました。

TechCrunchは、流出した記録の中から複数の被害者に実際に連絡を取り、データが本物の申請に基づくものであることを確認しました。事件の規模は甚大で、少なくとも10万件以上の機密文書が脆弱な状態にあったと考えられています。

「UK Visa Portal」の運営元は？

このウェブサイトは、英国内務省や公式政府ポータル「GOV.UK」とは一切提携していない、完全に独立した商用サービスとして運営されていました。報道によると、運営元はアラブ首長国連邦（UAE）に登記された「Active Leadgen LLC」という企業でした。

このプラットフォームは、英国の電子渡航認証（ETA）やその他の入国管理関連の申請を「代行」するとして手数料を徴収していました。しかし、これらの手続きの多くは、利用者が直接「GOV.UK」で無料、あるいははるかに低コストで完了できるものです。

さらに、これほど機密性の高い情報を取り扱うプラットフォームにもかかわらず、セキュリティ上の問題を報告するための適切な連絡先や「バグ報告の仕組み」がウェブサイト上に存在しませんでした。この欠如が、問題が発見されてから対応されるまでの時間をさらに長引かせた可能性が高いです。研究者や一般ユーザーが問題を簡単に指摘する手段がなかったからです。

物議を醸した運営会社の対応：「修正」ではなく「法的脅迫」

この事件で最も批判を集めている点は、問題が明るみに出た後の運営会社の行動、あるいは「行動しなかったこと」です。TechCrunchが問題を警告するために運営会社に連絡を取り、調査結果の公表準備を進めていた際、報道によると「UK Visa Portal」側は記事の公開時点においてもセキュリティ上の欠陥を修正していませんでした。

情報流出という緊急事態にもかかわらず、直ちにサーバーを保護したり、情報流出を公表して利用者に注意喚起を行ったりする代わりに、運営会社は全く別の手段に出ました。複数の報道が確認したところによると、「Active Leadgen LLC」は、この一件を報じようとしたTechCrunchに対して、弁護士を派遣し、事実上の「報道差し止め」とも取れる法的圧力をかけたのです。

問題のストレージがようやく保護されたのは、TechCrunchの第一報が公開されてから数時間経過した「翌日の夜間」になってからでした。つまり、報道前でもなければ、倫理的な情報開示に応じた結果でもなかったのです。

被害者が直面するリスクと教訓

今回流出したデータセットは、個人情報の悪用という極めて深刻なリスクを生み出しました。高解像度のパスポート画像、本人確認用の顔写真、そして場合によっては写真に埋め込まれた位置情報（GPSメタデータ）が組み合わさることで、悪意のある第三者は、金融詐欺、口座の不正開設、巧妙なソーシャルエンジニアリング攻撃（人間の心理的な隙を突く情報操作）などに悪用する可能性があります。

多くの被害者は、自分が政府とは無関係のサービスを利用しているとは夢にも思っていなかったため、この情報流出は寝耳に水の出来事でした。英国へのビザ申請の公式ルートは「GOV.UK」のみです。今回の事件は、パスポート情報のような極めて重要な本人確認書類の提出を求める「第三者サービス」を見極めることの重要性を、改めて痛感させるものとなりました。