英国政府機関である**Companies House**は、2025年10月から存在していたセキュリティ脆弱性に対処するため、金曜日にWebFilingサービスを一時停止しました。この脆弱性は、数百万社に登録されている企業のデータを潜在的に公開していました。 ### 脆弱性の発見 この脆弱性は、**Ghost Mail**のJohn Hewitt氏が最初に問題を特定したものの、当局からの応答が得られなかったと主張した後、**Tax Policy Associates**の創設者である**Dan Neidle**氏によって**Companies House**に報告されました。 「必要なのは、自身の情報を使用してCompanies Houseにログインし、自身の会社のダッシュボードにアクセスすることでした。次に「他の会社のために提出する」を選択し、Companies Houseに登録されている500万社のいずれかの会社番号を入力します」と[Neidle氏は述べています](https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/)。 「その時点で認証コードを求められますが、もちろん持っていません。問題ありません。「戻る」キーを数回押してダッシュボードに戻ります。しかし、それはあなたのダッシュボードではありません。それは他の会社のダッシュボードなのです。」 ### データ漏洩 Neidle氏によると、この脆弱性により、登録されている500万社すべての、企業の経営陣の自宅住所やメールアドレスを含む機密情報にアクセス可能でした。 **Companies House**は月曜日にこの脆弱性を認め、2025年10月のWebFilingシステムへのアップデート中に導入されたと述べています。  同機関は、ログインしたユーザーが「同意なしに他の会社の詳細の一部を変更できた可能性がある」ことを認めました。また、この脆弱性が悪用されてデータを盗み出し、一度に1件ずつ会社の記録にアクセスできた可能性も認めました。 ### 影響と調査 「私たちの調査により、Companies Houseの登録簿に通常公開されていない個々の会社からの特定のデータが、他のログインしたWebFilingユーザーに表示された可能性があることが確立されました」と、**Companies House**は[公開発表](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue)で述べています。 この公開されたデータには、生年月日、居住者住所、および企業メールアドレスが含まれていました。同機関はまた、アカウントや役員の変更などの不正な提出が、他の会社の記録に対して行われた可能性も指摘しました。 **Companies House**は、ユーザーのパスワードやパスポート情報などの本人確認データは侵害されていないことを明確にしました。さらに、既存の提出済み書類は変更できませんでした。 同機関は、このインシデントを英国の**Information Commissioner's Office (ICO)**および**National Cyber Security Centre (NCSC)**に報告しました。脆弱性が会社の詳細へのアクセスまたは変更に悪用されたかどうかを判断するための調査が進行中です。 「現段階では、データが不正にアクセスまたは変更されたという報告はありません」と**Companies House**は述べています。「しかし、私たちの調査は進行中です。作業が進むにつれてさらなるアップデートを提供し、その間、透明性を維持することに引き続きコミットしていきます。」