英国の渡航許可申請を装う第三者サイト「UK Visa Portal」が、パスポートのスキャン画像や本人確認用セルフィーを含む10万件以上の文書を、認証のかかっていないクラウド上に放置していたと報じられています。被害者は身元詐取や金融詐欺のリスクにさらされている状況で、2026年5月26日時点でも問題は是正されていないとされます。なお、本件は英国向けの電子渡航認証(ETA)申請に関する事案であり、対象は英国渡航を目的とした申請者に限られる点に留意が必要です。現時点では「リーク状態」として扱うべき段階の情報を整理します。
漏洩したとされる10万件以上の文書の中身
TechRadarがTechCrunchの報道を引用するかたちで伝えたところによると、UK Visa Portalが利用していたクラウドストレージは、パスワード保護のない完全な公開状態に設定されていたとされます。アクセスできる文書はパスポートの顔写真ページにとどまらず、本人確認のために撮影したセルフィー、申請書類一式まで含まれていると報じられています。
漏洩したとされる情報は次のように広範です。
- 氏名、パスポート番号、国籍、生年月日、出生地
- パスポートの発行日・有効期限
- 自宅住所、連絡先電話番号、メールアドレス
- 本人確認用に撮影されたセルフィー画像
これだけのPII(個人を特定できる情報)が一括で取得できる状態は、サイバー犯罪者にとって身元詐取や口座開設詐欺の素材として極めて価値が高い構成と言えます。
「推測可能なURL」が被害を拡大させた可能性
今回の事象でとくに深刻と指摘されているのが、ファイルディレクトリ構造そのものが推測可能な命名パターンになっていた点です。直リンクを持っていない攻撃者でも、URLのパターンを類推することで他の利用者の文書にたどり着けてしまう設計だったと報じられています。
つまり、単に「公開バケットに置いてしまった」というよくある設定ミスにとどまらず、内部のURL設計上も漏洩を拡大しやすい構造だった、という二重の問題が指摘されている格好です。少なくとも10万件の文書が制限なく取得できる状態だったとされ、2026年5月26日の時点でも修正は確認されていません。
公式サービスと「非公式サイト」の決定的な違い
被害が拡大しやすかった背景には、利用者の多くが「公式の英国渡航許可申請窓口」だと誤認してアクセスしていた可能性が高い、という構造的な問題があると報じられています。
英国政府はElectronic Travel Authorization(ETA:電子渡航認証)の申請を、£20(約4,000円)の手数料で公式に提供しています。これは英国渡航を目的とした申請者向けの仕様であり、他国のビザ・渡航認証制度には適用されません。一方、今回問題となったUK Visa Portalはこれとは別の第三者サイトで、政府公式の窓口ではありません。「Visa Portal」という名称や検索結果での見え方から、公式申請ページと取り違える利用者が一定数発生していたとみられます。
非公式のビザ取得代行・支援サイト自体は世界中に存在しますが、扱う情報がパスポート原本のスキャンや顔写真である以上、運営側のセキュリティ水準が公式機関と同等でなければ、利用者は今回のような大規模流出リスクを背負うことになります。
利用者が今すぐ取るべき対策
UK Visa Portalを利用した記憶がある場合は、次の対策が推奨されています。
- クレジット関連口座の利用明細と新規開設状況を定期的にモニタリングする
- 主要オンラインアカウントに多要素認証(MFA)やパスキーを追加する
- 公式機関や金融機関からの通知メールを装ったフィッシングに警戒する
データ保護法上は被害者への通知が法的義務とされていますが、運営側からの連絡が既に行われているかは明らかになっていません。当面は「自分宛の通知を待つ」だけでは不十分で、自衛として上記の予防策を先に進める方が安全と言えます。
リーク段階の情報である以上、最終的に漏洩件数や流出文書の範囲は変動する可能性があります。現時点では「10万件以上が無防備な状態に置かれていた疑いが強く、是正は未確認」と判断するのが妥当でしょう。続報を待ちつつ、UK Visa Portalを利用した心当たりがある人はアカウント保護を先行して進めておくべき事案です。
運営側の連絡経路が機能していない問題
今回の事案では、漏洩そのものに加え、運営体制の不透明さが是正の遅れにつながっていると指摘されています。
UK Visa Portal does not have a way to report security issues through its website, nor does its website provide names or contact information for the company's management.
TechCrunchがセキュリティ問題を報告しようと試みた段階で、サイト上には経営陣の氏名も連絡先も掲載されていない状況が明らかになっています。公開メールアドレス宛に通知を行った結果、返信を寄越したのは運営本体ではなく代理人を名乗る弁護士やPR会社で、経営陣との直接の連絡経路を求めても応答は得られなかったとされます。さらに英国情報コミッショナー事務所(ICO)への個人データ侵害通知の義務など、規制面での論点も浮上しており、運営側がデータ保護法上の通知義務を履行しているのかが今後の焦点となります。
ETA詐欺サイトの拡大と規制側の対応
UK Visa Portalのような第三者サイトはETA制度の本格運用と並行して急速に拡大しており、規制側の対応も後手に回っている状況です。
| 項目 | 内容 |
|---|---|
| 完全施行日 | 2026年2月25日から非ビザ国民へETAが完全施行 |
| 不正サイトの請求額 | 最大€178、£200を請求する事例が確認 |
| 確認された非公式サイト数 | 2025年7月時点で欧州国境沿岸警備機関が100超を報告 |
完全施行が迫るなか、新規利用者が一気に流入するタイミングを狙うかたちで非公式サイトの数が増えているとみられます。検索結果の汚染に対しては、Googleが「政府サイトではない」旨の警告表示を導入し始めたと伝えられていますが、業者側の手口の更新は早く、制度移行の節目と不正サイトの増加が重なっているため、利用者側の自衛がいっそう重要になっています。
Q&A
Q. UK Visa Portalは英国政府の公式サイトですか? いいえ、政府公式の窓口ではなく第三者が運営するサイトです。英国の電子渡航認証(ETA)は英国政府が£20(約4,000円)で公式に受け付けており、今回問題となっているサイトとは別物と報じられています。これらは英国渡航向けの仕様に限った話で、他国のビザ・渡航認証制度には適用されません。
Q. 自分の情報が漏れたかどうかは確認できますか? 現時点では運営からの正式な被害者通知が行われているかは明らかになっていません。サイトを利用した記憶がある場合は、通知を待たずにMFAやパスキーの設定、クレジット関連の監視を先に進めることが推奨されています。
Q. 漏洩したとされる情報にはどのようなものが含まれますか? パスポートの顔写真ページ(氏名・パスポート番号・国籍・生年月日・出生地・発行/有効期限)、本人確認用セルフィー、自宅住所、電話番号、メールアドレスなどが含まれると報じられています。
