クラウドマーケットプレイスPax8、誤って1,800社のMSPパートナーのデータを公開

クラウドマーケットプレイスおよびディストリビューターのPax8は、MSPの顧客およびマイクロソフトのライセンスデータを含む内部ビジネス情報が記載されたスプレッドシートを、英国に拠点を置く40社未満のパートナーに誤って電子メールで送信したことを確認した。

Pax8は急成長中のクラウド・コマース・マーケットプレイスで、従業員1,700人以上、世界中に47,000以上のパートナーを抱え、18カ国で事業を展開している。同社は最近、年間売上高が20億ドルを突破し、特にヨーロッパでの成長が著しい。

CSVで顧客データとライセンスデータを公開

この電子メールは、「Potential Business Premium Upgrade Tactic to Save Money」と題され、1月13日にEMEAに拠点を置く戦略的アカウント・マネージャーから送信され、CSVが添付されていた。

Pax8社によると、このファイルには、主に英国の約1,800社のパートナー（カナダに1社）に影響する内部価格とマイクロソフトのプログラム情報が含まれており、誤って英国を拠点とする40人未満の受信者に配布されたとのことです。

メッセージを受け取ったMSPによると、CSVファイルには顧客の組織名、マイクロソフトのSKU、ライセンス数、New Commerce Experience（NCE）の更新日が記載されていたとのことです。

複数の受信者から直接共有されたアーティファクトによると、流出したスプレッドシートには、以下のようなフィールドが56,000件以上含まれていた：

• パートナーの名前とID
• 顧客名とID
• ベンダー名と製品名
• グロスおよびネット予約
• 通貨 合計数量
• テリトリー
• アカウント所有者
• 提供日
• 予約取消日
• 郵便番号
• 取引タイプ
• コミットメント期間終了日

このEメールが送信された直後、送信者はこのEメールの回収を試み、その後、受信者に元のメッセージと添付ファイルを削除するよう求める別のEメールを送信し、誤って送信されたことを認めました：

Pax8は、このフォローアップ通知の中で、このファイルには個人を特定できる情報は含まれていないが、MSPの価格設定やマイクロソフトのプログラム管理の詳細を明らかにする可能性のある限定的なビジネス情報が含まれているとパートナーに伝えた。このような情報は、顧客ポートフォリオやライセンスの足跡を含み、通常、これらのテナントを管理するMSPとPax8自身だけが見ることができる。

複数の受信者が、Pax8からのフォローアップの文言を共有している：

「親愛なるパートナーの皆様、

本日2026年1月13日未明、パックスエイトの従業員が誤ってスプレッドシートを添付したメールを英国に拠点を置く40社弱のパートナーに送信しました。添付ファイルには個人を特定できる情報は含まれていませんでした。しかしながら、このファイルには、パックスエイトの価格設定とマイクロソフトのプログラム管理に関する限定的な内部ビジネス情報が含まれていました。

重要なことは、このインシデントによるマーケットプレイスの可用性やセキュリティ管理への影響はないということです。

直ちに実施したこと

* 各受信者に直接連絡し、メールと添付ファイルの削除を要請しました。
* 削除と非転送の確認を要求
* 削除を強化し、完了を確認するため、受信者と 1:1 のフォローアップ電話を実施している。
* なぜこのような事態が発生したのかを特定し、再発を防止するため、社内調査を開始した。

あなたがすべきこと

お客様からのアクションは必要ありません。
ご質問がございましたら、trust@pax8.com までご連絡ください。

私たちは、パートナーの機密情報を保護する責任があることを認識しています。

敬具
Pax8 Alerts”

データセットを探しているとされる脅威行為者

Pax8 Alertsはまた、業界筋からの情報として、脅威行為者が現在、被害を受けたMSPに接触し、暴露されたデータセットのコピーを購入するよう申し出ていることを明らかにした。

このような情報は、競合他社にとってもサイバー犯罪者にとっても価値がある。ライバルのMSPにとっては、このリストによって、どの組織がPax8をディストリビューターとして使用しているか、各顧客のマイクロソフト環境の規模、契約更新のスケジュール、潜在的に支払われている価格設定が明らかになる可能性があります。

脅威行為者にとっては、このデータセットは、特定のマイクロソフト製品を実行している組織、その導入規模、その環境を管理しているMSPを特定し、質の高い標的リストとして機能する可能性がある。これにより、より説得力のあるフィッシング・キャンペーンや、ビジネスメールによる侵害の試み、あるいはライセンス更新や契約交渉のタイミングを狙った恐喝行為が可能になる。

掲載に先立ち、Pax8社のメディア・チームにコメントを求めたが、記載されたプレス用アドレスへのメッセージは何度もバウンスされた。また、コミュニケーション・チーム、サポート・デスク、trust@pax8.com の受信箱、およびこの事件に詳しい担当者にも連絡を取った。

後日、Pax8の広報担当者は、同社の公告やパートナーとのコミュニケーションですでに開示されている詳細と一致する、この事件を確認した。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

MCPのための7つのセキュリティ・ベスト・プラクティス

MCP（モデル・コンテキスト・プロトコル）がLLMをツールやデータに接続するための標準になるにつれて、セキュリティ・チームはこれらの新しいサービスを安全に保つために迅速に動いています。

この無料のチート・シートには、今日から使える7つのベスト・プラクティスがまとめられています。

今すぐダウンロード