フランス政府機関、ハッカーによるデータ販売提案の中で侵害を確認

 (bleepingcomputer.com)
1 ポイント 投稿者 GN⁺ 6 일 전 | 1件のコメント | WhatsAppで共有
  • フランスの身分証明書・登録文書を管理する ANTSポータル でセキュリティ事故が検知され、個人および業務用アカウントのデータが露出した可能性がある
  • 確認された露出対象の情報には ログインID・氏名・メールアドレス・生年月日 と固有のアカウント識別子が含まれ、一部の利用者については住所・出生地・電話番号も含まれる可能性がある
  • 当局は、この情報だけではポータルへの 不正アクセスは不可能 だと説明したが、フィッシングやソーシャルエンジニアリング攻撃に悪用される恐れがあるため、SMS・電話・メールによる不審な連絡に注意が必要だとしている
  • 4月24日に公開された更新では、影響を受けたアカウント数を 1,170万件 と確認し、影響が確認された対象者への通知手続きも進行中である
  • ハッカーフォーラムでは breach3d が攻撃を主張し、最大1,900万件のレコードを販売用として掲載したが、記事時点ではデータが広範囲に流出した状態ではない

侵害の確認と影響範囲

  • France Titres、すなわち ANTS は ants.gouv.fr ポータルで セキュリティ事故 を検知し、個人および業務用アカウントのデータが露出した可能性があると明らかにした
    • 同機関はフランス国内の公式な身分証明書と登録文書を管理しており、運転免許証、国民IDカード、パスポート、移民文書を扱っている
    • 攻撃は先週発生し、調査は現在も継続中で、露出した人数は公表されていない
  • ANTS は 2026年4月15日水曜日に事故を検知したと告知し、影響が確認された対象者への通知手続きを進めている
    • ANTS告知 で事故の事実と警戒勧告を確認できる
  • 4月24日に公開された更新では、影響アカウント数 を1,170万件と確認した

露出した可能性のあるデータ

  • ANTS は複数種類の アカウント情報 が露出した可能性があると説明した
    • ログインID
    • 氏名
    • メールアドレス
    • 生年月日
    • 固有のアカウント識別子
  • 一部の利用者には追加の 個人識別情報 も含まれる可能性がある
    • 郵便住所
    • 出生地
    • 電話番号
  • 上記の情報だけでは ANTS 電子ポータルへの不正アクセスはできないとしている
    • ただし同じ情報が フィッシングソーシャルエンジニアリング攻撃 に悪用される可能性があるため注意が必要だ

利用者向け案内と対応

  • ANTS は利用者に別途の対応を求めていない一方で、当局をかたる 不審なメッセージ や異常な連絡に特に注意するよう呼びかけている
    • 警戒対象には SMS、電話、メールが含まれる
  • 対応過程では CNIL、パリ公共検察、国家サイバーセキュリティ機関 ANSSI に通知した
    • データの販売や流布は違法である点もあわせて警告している

ハッカーによる販売の主張

  • 4月16日、ハッカーフォーラムで breach3d という名の脅威アクターが ANTS への攻撃を主張し、最大1,900万件のレコードを保有していると書き込んだ
  • この脅威アクターは、窃取データに氏名、連絡先情報、出生データ、自宅住所、アカウントのメタデータ、性別、婚姻状況が含まれると主張している
  • データは非公開の金額で販売用投稿に掲載されており、記事時点では 広範囲に流出した状態ではない
  • BleepingComputer はこの主張に関連して ANTS に問い合わせたが、記事掲載時点までに回答は得られなかった

関連記事

1件のコメント

 
GN⁺ 6 일 전
Hacker Newsのコメント

  • 漏えいした情報が氏名・生年月日・住所・電話番号程度なら、もう珍しくもない
    この2〜3年で自分の情報もすでに何度も漏れているし、企業や機関への処罰がせいぜい謝罪メール1通なら、こんな事態は絶対に変わらない

    • そもそも政府があらゆる些細な行為にKYCを強制すべきではない
      バナナを買ったり配達を頼んだりするのにまで、なぜ本人確認が必要なのか分からないし、漏えいが避けられない以上、KYC自体がより大きな違法行為のように見える
      もともとは詐欺やマネーロンダリング防止が名目だったが、実際には大して防げておらず、"largest money laundering settlements"を検索すれば大手銀行や暗号資産詐欺がそのまま出てくる
    • 政府機関には罰金があまり効かない
      結局は税金で払うことになって動機付けにもならないので、むしろ他の機関・病院・銀行・インフラ・大企業を相手に積極的にペンテストを行う専任の政府機関を置き、民間並みの給与を払うべきだ
      問題を修正する法的期限を強制し、民間には罰金、公共にはinfosec責任者の降格のような実効性ある制裁が必要だ
      コンプライアンスのチェックリストやKPMG式の監査よりも、政府支援のハッカーが実際の攻撃者のように侵入を試みるほうがはるかにましだ
      フランスはこの1年、さまざまなレベルで政府へのハッキングが多すぎたので、なおさら切実だ
    • 1年間の無料信用監視も忘れてはいけない
      こんな提案をあまりに多く受けているので、全部に登録したら、むしろハッキングされそうな場所に自分の個人情報を倍以上ばらまくことになりそうだ
    • こういう漏えいを見るたびにlocal-first softwareを見直す気になり、https://lofi.soも思い出す
      大規模漏えいを減らすには、そもそもなぜこんな巨大な中央集権型データストアが必要なのかという点を、アーキテクチャのレベルから壊すべきだと思う
      政府が中央権限を持つとしても、被害半径を小さくする保存方式は考えられる
      もちろん無理だという反論は多いだろうが、今の主流の代替案が絶望と無力感しかないなら、進展は周縁的なイノベーションからでも出てくるべきだ
    • 1か月どころか、無料信用監視すら受けられないのかと思ってしまう

  • 今日、自分が影響を受けたというメールを受け取った
    皮肉なことに、数年前に失業給付機関で同じデータがすでに一度漏れていたので、自分にとっては何も変わっていない
    新しい仕事を見つけたあともそのアカウントを消さなかった自分が間抜けだった気もする

    • 記録用にメールのコピーはあったほうがいい
      そうすればAnthropicOpenAIのデータセットにも入るだろうから :)
    • ANTSから来たものなのか気になる
      自分はまだ何も受け取っていない

  • こんな状況なのに、インターネット向けの中央集権型IDをなおも押し進めているのはあきれる
    世界中のハッカー集団やAI企業のために巨大なハニーポットを作っているだけで、実際には2か月おきという勢いで漏えいが起きている

  • 政府が自分の個人情報を価値のないもののように扱うなら、自分も著作権物を価値あるものとして扱うつもりはない
    情報社会を作るのなら、もっとも重要な集団を置き去りにしてはならない

    • 原則どおりに政府と真正面からぶつかるのは、現実的にはほぼ負け戦になる可能性が高い
      変化は必要でも、そのやり方よりもっと良い方法がある気がする

  • もはやランサムウェアやデータ保護を心配する段階は過ぎた感じがある
    みんなのPIIはすでに抜かれている前提で、政府給付のような場面でオンライン本人確認をどう行うかにもっと集中すべきだ
    オランダや日本の国家デジタルID、インドの生体認証のような例が思い浮かぶし、米国が最終的に何を選ぶのか気になる

    • 生体情報は漏える項目を1つ増やすだけなので、最悪のアイデアに近い
      カメラ追跡などにも悪用され得るので、はるかにセンシティブだし、この問題はすでに連合型IdPMFAでずっと前に解決可能だった
      OTPデバイスや物理トークンのような「持っているもの」と、SSN・納税者番号・パスワードのような「知っているもの」を組み合わせればよいのに、政府はたいてい市民のプライバシーとは逆方向を望むので生体情報を好むようだ
    • スウェーデンではほぼすべての情報がデフォルトで公開されている
      名前さえ分かれば自宅住所を簡単に調べられ、生年月日、誰と住んでいるか、建物の何号室か、車・犬・携帯電話契約の有無まで見える
      少額を払えば所得記録まで引き出せる
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      それでも somehow 回ってはいる
    • 今の流れを見ると、米国式の解決策は結局網膜スキャンを要求する方向に進みそうだ
      Targetでズボンを1本オンライン購入するだけでもスキャンが必要になり、その情報は自分の音声指紋や運転免許証のスキャン画像と一緒にダークウェブに出回るのだろう
    • オランダには、すべての正式な政府サービスで使う単一IDがある
      実質的には政府発行のusername/password + MFA構成で、パスポートのNFCチップをスマートフォンでスキャンして本人確認する方法も使える
      ただし、これがデータ漏えいの問題をどう解決するのかはよく分からない
    • フランスにはすでにオンラインの本人確認手段が複数ある
      France Connect SSOは一種の連合型SSOで、郵便局が住所と本人確認用コードを郵送したり、直接来所して確認させたり、税務・社会保障アカウントのように物理的に確認済みのアカウントを1つ持っていれば、他の政府サービスにもログインできる
      別途、実物の身分証のNFCチップを読み取り、生体情報とセルフィーを照合して認証するアプリも提案されている

  • 免許に新しい表記を追加するなど、書類を新規作成したり修正したりするたびに、考え得るあらゆる身分証のコピーを要求してきたのに、そのくせ自分のデータを全部漏らしたというのがとりわけ皮肉だ
    そもそも向こうはすでに全部持っていたはずなのにと思う

    • 本人確認をするには、結局身分証の提示とシステム照会が必要になる
      だからその手続き自体は不自然ではなく、元のコメントの問題意識はあまりよく分からない

  • 1900万人のフランス人だなんて、自分もその中に入っている

  • 昔ながらの官僚制にもそれなりの利点はあった
    こうした大規模漏えいはずっと起こしにくかったし、仮に起きても価値はずっと低かった
    その体制では、手続きを守らせ不正を防ぐために働く人たちが、民主的参加を下支えしてもいた
    こうしたシステムはいずれ破られると分かっていたのだから、これからは「漏れたときにどう人と制度を守るか」を前提に設計すべきだ
    利便性のためであれ、監視や権威主義のためであれ、この道を進み続けるのなら、侵害後のシナリオをきちんと準備しなければならない

  • この件が、Microsoftや米国企業でシステムを簡単に移行できると誇った直後に起きたのも、妙に興味深い
    もしかすると来年こそLinux desktopの年なのかもしれない

  • こういうデータが役に立たなくなるほど大量のノイズを混ぜる方法はないものかと思う
    LLMがそこに役立つのかも気になる

    • 真面目な質問なら、答えはノー
      すでに権威ある元データベースが侵害されているので、攻撃者は本物のデータセットがどれかを把握しており、外部から混ぜられたノイズは単に無視すればいいだけだ