ホーム / Critical Brief / No. 077

IDMerit:本人確認のために集めた約10億件が、保護されないまま公開状態に置かれた

本人性の証明と原本属性・AML 検証ログの保管が分離されない構造(Cybernews)

Pillar 04 · 規制属性証明 KYC / AML 開示 属性証明バイパスデータ来歴
事案日
2026-02-18
公開日
2026-06-23
発行
Lemma Critical Team
関連 Pack
Pack AIncident Response

TL;DR

金融サービス向けに本人確認(KYC)を提供する IDMerit が、MongoDB データベースをインターネット上に保護なしで放置し、26 か国・約 10 億件の個人記録が誰でもアクセスできる状態になっていた。露出していたのは氏名・住所・国民 ID 番号・生年月日・電話番号・メール・通信メタデータに加え、KYC / AML の検証ログそのもの。Cybernews の研究者が 2025-11-11 に発見し、IDMerit は翌日に閉鎖したが、公開での開示は約 99 日後の 2026-02-18 だった。本人性を「確認した」という機能と、その確認に使った原本の属性を大量に保持し続ける運用が分離されていなかった。検証済みであることを証明するために、検証者が原本データの巨大な集約点になり、その集約点がそのまま漏洩面になった。発見・閉鎖という検出は機能したが、「この属性は、原本を保持・開示せずに証明されているか」を設計の前提に置く層が無かった。

事案概要

  • 対象: IDMerit(カリフォルニア拠点の AI 本人確認プロバイダ。金融サービス・フィンテック向けに KYC / AML を提供)
  • 被害規模: 約 10 億件の個人記録(PII)が 26 か国にわたり露出。総量 1TB 超。国別では米国が約 2.03 億件、メキシコが約 1.24 億件と報じられる
  • 露出データ: 氏名・住所・国民 ID 番号・生年月日・電話番号・メールアドレス・通信メタデータ、および KYC / AML の検証ログ
  • 原因: MongoDB データベースがインターネット上に認証なしで公開状態のまま放置されていた(設定不備による露出。外部からの侵入や暗号破りではない)
  • 発見と対応: Cybernews の研究者が 2025-11-11 に露出を発見。IDMerit は翌日にデータベースを閉鎖。ただし公開での開示は約 99 日後の 2026-02-18 で、発見から開示までの空白そのものが規制上の論点になった
  • 悪用リスク: 流出した本人確認データは、なりすまし・与信詐欺・SIM スワップ(電話番号の乗っ取り)・標的型フィッシングの材料になる。KYC データは「一度漏れれば作り直せない」本人性属性を含むため、影響が長期に及ぶ
  • 文脈: 本人確認を担うベンダーが、確認に用いた原本属性を国境を越えて大量に集約・保持する構造が、規制(KYC / AML 義務化、年齢確認義務化等)の広がりとともに増えている
  • 核心: 「確認済み」であることの証明と、確認に使った原本属性を抱え込む保管が分離されていなかったため、本人確認プロバイダ自身が原本データの集約点であり漏洩面になった。

タイムライン

  • 2025-11-11: Cybernews の研究者が、IDMerit の MongoDB データベースが認証なしで公開状態にあることを発見
  • 2025-11-12: IDMerit がデータベースを閉鎖(露出の遮断)
  • 2025-11〜2026-02: 発見から公開開示までの空白(約 99 日)が続く
  • 2026-02-18: 露出が公開で開示される。約 10 億件・26 か国・KYC / AML 検証ログを含む規模が報じられる

注: 本 Brief の事実は発見元の Cybernews および確立メディアの報道に基づく。件数・国別内訳は報道に依拠し、断定を避けて出所を明示する。本 Brief は事業者の動機の断罪ではなく、本人性の証明と原本属性の保管が分離されていないという構造に焦点を当てる。

事象連鎖(失敗の分解)

  1. 属性の大量集約: 本人確認のため、IDMerit が国民 ID 番号・生年月日・顔・通信メタデータなどの原本属性を、26 か国・約 10 億件規模で集約・保持していた
  2. 証明と保管の未分離: 「この人物は確認済み」という結果(KYC / AML 検証ログ)を出すために、検証に用いた原本の属性そのものを保持し続ける運用になっており、証明の発行と原本の保管が分離されていなかった
  3. 集約点の露出: MongoDB データベースが認証なしで公開状態のまま放置され、集約点がそのまま外部からアクセス可能な漏洩面になった
  4. 不可逆な属性の流出: 作り直せない本人性属性(国民 ID 番号・生年月日等)が露出し、なりすまし・SIM スワップ等の長期的リスクに直結
  5. 開示の遅延: 発見・閉鎖の後、公開開示まで約 99 日の空白があり、影響を受けた本人が対処を始める時点が遅れた

構造的論点

本事案は Pillar 04(規制属性証明)の kyc-aml-disclosure カテゴリに属する。中心的な失敗 primitive は、本人性という属性を「証明する」機能と、その証明に用いた原本属性を「保持する」運用が分離されていない点にある。検証者は「この人物は確認済み」という結果を出すために、国民 ID 番号や顔を含む原本データの巨大な集約点になり、その集約点が設定不備でそのまま漏洩面になった。secondary に、保持された原本属性が本人の制御なく流出した点で attribute-proof-bypass、属性の来歴・保持期間が検証されない点で data-provenance を併記する。

Brief 013(Coinbase の内部経由 KYC データ漏洩)・Brief 052(Discord の年齢確認ベンダー 5CA から ID 7 万枚流出)と同じ系譜であり、本事案はその大規模・国際版である。052 は「年齢という単一属性を確認するために、生の ID を第三者が丸ごと保管していた」事案で、本事案も「本人性を確認するために、原本属性を作り直せない形で大量保管していた」点で primitive が同型。Brief 034(eKYC liveness 突破)とは、本人性属性が原本のまま受理・保持される構造で隣接する。さらに、発見・閉鎖から公開開示までの約 99 日の空白は、Brief 006(Google API キーが削除後も 23 分有効だった失効・是正の遅延)と、是正のタイミングが攻撃可能な窓を残す点で連なる。

本事案は攻撃 incident ではなく、規制属性を扱うインフラの信頼層リスク事象である。KYC / AML や年齢確認の義務化が世界的に広がる中で、確認を担うベンダーが原本属性の集約点になることは構造的に避けがたい。原本を保持・開示せずに「この属性は確認済み」だけを証明できる設計でなければ、確認義務の履行そのものが新たな漏洩リスクを生む。

検出と証明の落差

Cybernews による露出の発見、IDMerit による翌日の閉鎖、影響範囲の報道は、被害の把握と遮断に不可欠であり、本 Brief がその役割を否定するものではない。露出は発見され、遮断された。

一方で、露出の発見・閉鎖は、検証者が「本人性を証明するために、原本属性をどれだけ保持・集約するか」という設計自体を変えない。本事案では、確認済みであることを示す KYC / AML 検証ログを出すために、原本の属性が大量に保持され、その集約点が漏洩面になった。欠けていたのは「この属性は、原本を保持・開示せずに証明されているか」という設計上の前提であり、これは露出を事後に検知・閉鎖することとは別系統の問題である。発見が露出の後であれば、それまでにアクセスされた可能性は閉鎖では取り消せない。規制報告・監査で「我々は本人確認義務を、本人の属性を不必要に保持せずに果たしていたか」を立証する材料として、検証ログが存在するという事実だけでは、原本を最小限しか扱っていない証跡にならない——むしろ検証ログ自体が漏洩していた。

事前証明(pre-execution attestation)と選択的開示は、本人性の確認を、原本属性の保持・開示と切り離して設計する。検証者は「この人物は確認済み」「年齢は要件を満たす」「サンクション該当なし」といった結論だけを、独立検証可能な証明として受け渡し、国民 ID 番号や顔そのものを保持・集約しない。属性の証明(proof)と、原本の保管(漏洩面)を分離することで、確認義務を果たしながら集約点を作らない。露出の検出(detection)と、原本を持たない属性証明(proof)は代替ではなく 補完 の関係にあり、両者が重なって初めて、本人確認を国境をまたぐ業務に安心して載せられる。

事後の検知が証明にならない論点は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)、原本を送らずに属性だけを証明する設計は 「Proof-as-Auth: 鍵を一度も送らずにサインインする」(Lemma、2026-05)を参照。

対応経緯と業界動向

  • IDMerit: 露出の指摘を受けてデータベースを閉鎖。公開開示は発見から約 99 日後
  • Cybernews: 露出を発見・報告し、規模(約 10 億件・26 か国・KYC / AML 検証ログ)と発見から開示までの空白を可視化
  • 規制上の論点: 本人確認データの漏洩は、なりすまし・与信詐欺・SIM スワップ等に直結し、作り直せない属性を含むため影響が長期化する。発見から開示までの遅延は、各国のデータ保護・通知義務の観点で論点になった
  • 業界横断の論点: KYC / AML・年齢確認の義務化が広がる中、確認を担うベンダーが原本属性の集約点になる構造が問われている。属性の証明と原本の保管を分離し、検証者が原本を保持しない(選択的開示・最小化)設計が、確認義務とプライバシーを両立させる要件として議論が進む

「本人確認義務を、原本属性を不必要に保持・集約せずにどう果たすか」は、本事案を契機に KYC / AML インフラ設計の必須要件として議論が進む見込み。

Lemma による分析

本事案で露呈した検出と証明の落差(本人性の証明と、原本属性の保管が分離されず、検証者が漏洩面になる)に対して、Lemma は、属性の確認を原本の保持・開示と切り離して扱う設計を提示している。

  • 選択的開示による属性証明: 「この人物は確認済み」「年齢は要件を満たす」「サンクション非該当」といった結論だけを独立検証可能な証明として受け渡し、国民 ID 番号や顔そのものを開示・保持しない
  • 原本を集約しない検証: 検証者が原本属性の集約点になる前提を排し、属性の証明を、原本データの保管とは別系統で成立させる
  • 属性の来歴と保持の検証: 属性がどの来歴で、どの期間・範囲で保持されるかを検証可能にし、不必要な保持・国境を越えた集約を設計段階で抑える
  • 是正の検証可能性: 失効・削除が確実に効いたことを検証可能な形で残し、発見から是正までの空白が攻撃可能な窓として残らないようにする

「属性の証明 ≠ 原本属性の保持」という規制属性証明カテゴリの設計思想に対し、本事案はその想定する failure mode が約 10 億件規模の露出として顕在化した事例である。検出(事後の発見・閉鎖)は被害の遮断に、原本を持たない属性証明(proof)は本人確認義務とプライバシーの両立に、それぞれ相補的に働く。

設計と適用範囲は、Pillar 04 — 規制属性証明 および Seal を参照のこと。

Sources

Brief 配布について

本資料は公開情報の構造化分析であり、特定組織への監査・診断・推奨ではありません。

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
KYC / AML 開示の全 3 件を見る
No. 013 · 2026-05-31

Coinbase KYC データ内部漏洩

規制が要求する生の個人情報の保管が、内部買収で漏洩面に転化した構造

KYC / AML 開示 認証・認可
Brief →
No. 065 · 2026-06-17

北海道の国立病院:「破砕した」という前提のまま、患者 18 万人分の HDD が中古市場に流れた

機微媒体の廃棄が独立検証可能な破壊証跡として固定されない構造(NHO 北海道医療センター・北海道がんセンター)

属性証明バイパス データ来歴
Brief →
No. 052 · 2026-06-12

年齢を証明するために渡した政府 ID 7 万枚が、第三者から流出した

規制属性(年齢)の証明と生 ID の保管が分離されていない構造(Discord / 5CA)

属性証明バイパス データ来歴認証・認可
Brief →
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"IDMerit:本人確認のために集めた約10億件が、保護されないまま公開状態に置かれた — 本人性の証明と原本属性・AML 検証ログの保管が分離されない構造(Cybernews)".
Lemma Critical Brief No.077. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/077-idmerit-kyc-data-exposure/