Duc Appで何が起きたのか

Duc Appは、カナダ・トロントのDuales社が運営する送金サービスで、Google Playで10万ダウンロード以上を記録しています。キューバなど海外への送金を主要サービスとし、移民コミュニティを中心に利用されていました。

2026年4月、セキュリティ研究者のAnurag Sen氏(CyPeace所属)が、Duc AppのAmazonクラウドサーバーがインターネット上で誰でもアクセスできる状態になっていることを発見しました。パスワードも認証も不要で、サーバーのURLを知っていればブラウザだけでファイルを閲覧・ダウンロードできました。

サーバーには36万件以上のファイルが保存されており、すべて暗号化されていませんでした。ファイルは2020年9月から毎日追加されており、約4年間にわたって蓄積され続けていたことになります。

何が漏れていたか

  • パスポートの画像
  • 運転免許証の画像
  • KYC(本人確認)用のセルフィー写真
  • 顧客の氏名、住所
  • 取引日時、金額、詳細を記録したスプレッドシート

Duales社のCEOはTechCrunchに対し『テスト用のステージング環境だった』と説明しましたが、なぜ本物の顧客データが公開されたテスト環境に保存されていたのかは説明していません。また、他の第三者がデータにアクセスしたかどうかを確認するためのアクセスログがあるかどうかも不明です。

パスポートが漏れると何が起きるか

パスポートや免許証は、個人情報の中でも最も悪用価値が高い『身元証明書』です。これらが漏れると以下のリスクが生じます。

  • 銀行口座やクレジットカードの不正開設(なりすまし)
  • 合成ID詐欺(本物の情報と偽の情報を組み合わせた架空の身元を作る手法)
  • ダークウェブでの売買(パスポート情報は数十ドルから数百ドルで取引される)
  • ビザ・入国審査でのトラブル(漏えいしたパスポート番号が不正利用された場合)

パスワードは変更できる。しかしパスポート番号や免許証番号は簡単に変えられない。身分証明書の漏えいは、一生付きまとうリスクになる。

KYCの構造的な問題

2025年のJumioの調査によると、フィンテックアプリの70%以上がユーザーに政府発行の身分証明書のアップロードを要求しています。金融規制(マネーロンダリング防止法等)によりKYCは必須化が進んでいます。

問題は、『収集する義務』はあっても『安全に保管する義務』の法的強制力が弱いことです。多くの国で、KYCデータの暗号化やアクセス制御に関する具体的な技術要件は規定されておらず、違反に対する罰則も漏えいが起きた後にしか適用されません。

つまり、アプリにパスポートを提出した瞬間から、その画像がどう保管されるかはアプリ運営者の判断に完全に委ねられているのです。Duc App事件では、その判断が『暗号化なし・パスワードなし・4年間放置』でした。

自分の身分証明書を守るためにできること

  • 本人確認を求めるサービスに提出する前にそのサービスの信頼性を確認する
  • パスポートや免許証を提出したサービスの一覧を自分で管理する
  • 使っていないサービスのアカウントを削除し提出済みの書類の削除を依頼する
  • メールアドレスが過去の漏えい事件に含まれていないか定期的にチェックする
  • パスポートの画像を安易にスマートフォンのカメラロールに残さない
  • 可能であればパスポート画像に透かし(ウォーターマーク)を入れてから提出する

まず確認すべきこと

自分がどのサービスに身分証明書を提出したかを完全に覚えている人はほとんどいません。まずはメールアドレスの漏えいチェックから始めて、過去に登録したサービスからの情報流出がないかを確認してください。

Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認、プライバシースコアの算出を無料で行えます。

出典

TechCrunch: https://techcrunch.com/2026/04/02/canadian-money-transfer-app-duc-expose-drivers-licenses-passports-amazon-server/

TechRadar: https://www.techradar.com/pro/security/top-money-transfer-site-duc-leaks-user-passport-and-driving-license-data-info-online

Silicon Canals: https://siliconcanals.com/sc-n-fintech-apps-demand-your-passport-for-verification-then-leave-it-on-an-unprotected-server/

Prism News: https://www.prismnews.com/news/exposed-amazon-server-left-customer-data-accessible-without