仏政府Tchap侵害、ANSSIが調査 公開チャットのみか
フランス政府の暗号化メッセージングサービスTchapでアカウント乗っ取りが発生。ANSSIが調査を開始し当局は公開チャットのみの被害と主張するが、ハッカーは7万件超のユーザー情報へのアクセスを主張している。
フランス政府が運用する暗号化メッセージングサービス「Tchap」で、攻撃者によるアカウント乗っ取りが発生した。国家サイバーセキュリティ機関(ANSSI)は6月7日に不審な活動を検知し、現在調査を進めている。The Registerの報道によれば、仏デジタル問題総局(DINUM)は直ちに影響を受けたアカウントをブロックし、調査チームを立ち上げた。
当局は被害範囲を限定的と説明している。攻撃者が閲覧できたのは、すべてのTchapユーザーがアクセス可能な公開チャットルームのメッセージのみであり、プライベートな会話は暗号化されており、アカウントが侵害されても内容にはアクセスできないと主張する。
しかし、この説明に疑問を呈する声もある。あるサイバー犯罪者が攻撃の実行を主張し、Tchapの教育環境に関連する正規のエージェントアカウントを「ソーシャルエンジニアリング」によって入手したと述べている。Dark Web Intelligenceによって共有された投稿によれば、攻撃者は7万3000件以上のユーザーアカウント、64万3000件のメッセージ、約6万件のメディアファイル、および数百のチャットルームにアクセスしたとされる。さらに、ディレクトリ検索機能を通じてユーザーの列挙が可能であり、データにはフランス政府の限定配布分類「Diffusion Restreinte」の文書への参照が含まれていた可能性があるとも主張している。
これらの主張は独立に検証されておらず、DINUMの声明ではユーザーディレクトリの露出や制限文書、ハッカーが引用したデータ量については触れられていない。
調査の現状と対応
フランス当局が確認しているのは、調査担当者がログの分析を継続しており、どの会話が実際にアクセスされたか、データが外部に流出したかどうかを特定中であるという点だ。ANSSIは、攻撃者がアクセス可能な会話で共有された内容を通じて個人情報が露出した可能性があると判断し、仏データ保護監視機関(CNIL)にも通知を行った。
DINUMはTchapユーザー全員に対し、「公開チャットルームは誰でも見つけて参加でき、その内容は暗号化されていない」ことを改めて注意喚起するメッセージを送信したと説明している。同政府機関は「Tchapの利用規約に従い、個人情報、機密情報、または機密性の高い情報を公開チャットで交換してはならない」と強調した。
政府通信の脆弱性
このインシデントは、政府機関が内部通信に使用する専用プラットフォームのセキュリティ設計における根本的な問題を浮き彫りにした。Tchapはフランス政府が省庁や公共部門組織全体で使用するために開発した国産の暗号化メッセージングサービスだ。本来の目的は、機密性の高い政府内部のコミュニケーションを保護することにある。
しかし、公開チャットルームの設計はこの目的と矛盾する。公開チャットは暗号化されておらず、すべてのユーザーが参加可能である。これは悪意のあるアクターが一度アカウントを取得すれば、公開チャットを通じて政府関係者の会話を監視できることを意味する。
The Registerの分析によれば、フランス政府が近年推進してきた「主権的クラウド」構想の一環として開発されたTchapだが、今回の事件は、技術的優位性とセキュリティ設計の間に依然としてギャップが存在することを示している。
編集部の見解
本インシデントは、政府機関における「暗号化」という用語に対する誤解と、プラットフォーム設計上のアーキテクチャ判断の重要性を再認識させるものだ。Tchapの問題は、プライベートチャットがエンドツーエンドで暗号化されているにもかかわらず、公開チャットが平文であるという非対称性が攻撃の拡大を許した点にある。これは、暗号化技術の導入が万能ではなく、脅威モデルを正しく前提とした設計が不可欠であることを示している。
短期的には、フランス政府はTchapの公開チャット機能の見直し、あるいはアカウント侵害時のログ監査体制の強化を迫られる。同様のプラットフォームを運用する他の政府機関も、自組織の通信基盤における公開領域と非公開領域の境界を見直す契機となるだろう。
長期的視点では、Google WorkspaceやMicrosoft Teamsなどの商用サービスではなく、国産の政府向けメッセージングプラットフォームを開発・運用する「デジタル主権」の戦略そのものの再評価が必要になる。プライベートチャットの暗号化だけでは不十分であり、ディレクトリサービスの設計、アカウント乗っ取り検知、SOC(セキュリティ運用センター)との連携など、総合的なセキュリティアーキテクチャが問われている。
この事件を受けて、政府機関の内部コミュニケーションプラットフォームは、エンドツーエンドの暗号化だけでなく、公開チャットの設計やアカウント侵害時の被害範囲の限定といった、より高度なセキュリティ対策が求められる。また、AnthropicのClaude MythosやMicrosoftのMarkItDownのようなAIツールの普及に伴い、政府機関内部でのAI利用とデータ保護のバランスについても、新たな議論が必要となるだろう。
参考
よくある質問
- Tchapはどのようなサービスか
- Tchapはフランス政府が省庁や公共部門組織向けに開発した国産の暗号化メッセージングサービス。政府内部のコミュニケーションを保護する目的で設計されたが、公開チャットルームは暗号化されておらず、全ユーザーが参加可能な設計となっている。
- 攻撃者はどのようにアカウントを入手したのか
- 攻撃者はソーシャルエンジニアリングによってTchapの教育環境に関連する正規のエージェントアカウントを入手したと主張している。当局もアカウント乗っ込みの事実を認めており、現在調査が進められている。
- 被害の範囲はどの程度か
- 当局は公開チャットルームのみが露出したと主張するが、ハッカーは7万3000件以上のユーザーアカウント、64万3000件のメッセージ、約6万件のメディアファイルへのアクセスを主張している。これらの主張は独立に検証されておらず、調査が継続中。
コメント