ハクソク

世界を動かす技術を、日本語で。

フランス、国民IDを管理する政府機関でのデータ侵害を確認

2026年4月24日原文(techcrunch.com)

概要

  • フランス政府機関 であるANTSが 大規模な個人情報漏洩 を発表
  • 漏洩した情報には 氏名、誕生日、住所、連絡先 などが含まれる可能性
  • 影響人数は未公表 だが、数百万規模の可能性
  • ハッカーが 1,900万件のデータ販売 を掲示板で主張
  • 調査と被害者への通知 が進行中

フランス政府機関ANTSの大規模個人情報漏洩

  • Agence Nationale des Titres Sécurisés(ANTS) による個人情報漏洩の発表
    • 国民ID、パスポート、移民関連書類の発行・管理を担う政府機関
  • 2026年4月15日 に攻撃を検知
    • 詳細な侵入経路や被害範囲は調査中
  • 漏洩した可能性のある情報
    • 氏名
    • 生年月日・出生地
    • 郵送・メールアドレス
    • 電話番号
  • 影響を受けた市民数は 未公表
    • 一部報道では 数百万人規模 の被害と指摘
  • Bleeping Computer によると、ハッカーが 1,900万件のデータ をハッキングフォーラムで販売と主張
    • 掲載内容はANTS発表と一致
    • フォーラム投稿は ANTSの公式発表前 に行われていた

今後の対応と注意点

  • 調査の継続 と被害者への 個別通知 を実施中
  • 漏洩情報を悪用した フィッシング詐欺やなりすまし への警戒が必要
  • 公式発表や通知内容の 確認徹底 が推奨
  • 関連する セキュリティ対策の見直し が求められる

Hackerたちの意見

今日、影響を受けるっていうメールが来たんだけど、皮肉なことに私には何も変わらないんだよね。数年前にフランスの失業手当を扱う政府機関から同じデータが漏れちゃってたから。新しい仕事を見つけた後も、そのアカウントを削除するのを面倒くさがって放置してた私がバカだったわ。

記録用にコピーがあればいいな(AnthropicとOpenAIがデータセットに入れられるように :))

1900万人のフランス人! で、私、私、私。

ランサムウェアやデータ漏洩、データ保護について心配するのはやめた方がいいと思う。もうその船は出航しちゃったし、みんなの個人情報はすでに盗まれちゃってるからね。オンラインでの本人確認の方法を考えるべきだと思う(政府の給付金とかのために)。オランダや日本が国のデジタルアイデンティティシステムを使ってるって聞いたけど、どうやって機能してるのかはよくわからない。インドはバイオメトリクスをやってるし、アメリカは最終的にどうなるのか気になるな。

バイオメトリクスはまた漏洩するだけのものだし、ひどいアイデアだよ。もっと敏感な情報だからね(例えば、イラン戦争で使われたようにカメラで追跡されることもある)。この問題は、フェデレーテッドIDプロバイダーとMFAで長い間解決されてきたんだよ。何かを知っている(SSNや税番号、パスワード)ものの他に、何かを持っている(OTPデバイスや物理トークン)っていう仕組みね。ほとんどの政府はもちろん、バイオメトリクスを好むけど、国民のプライバシーは彼らが望んでいることとは真逆だからね。

現状を見ると、アメリカの解決策は結局、ターゲットでパンツをオンラインで買うために網膜スキャンが必要になるんじゃないかと思う。そのスキャンは私の声のプリントや運転免許証のスキャンと一緒にダークウェブに流出するんだろうな。

オンラインで人々の身分をどうやって確認するか考えよう。フランスはすでにいくつかの方法でそれをやってるよ。フランスコネクトのSSOがあって、これは連携されたSSOの一種。物理的に証明されたアカウントが少なくとも一つ必要で(郵便局からコード付きの手紙が送られてきて住所と身分を確認する、または郵便局に行ってIDの確認を受けるとか、税務署でも物理的な確認が必要な手続きがあるし、社会保障制度も同様)、それを使ってSSO経由で全ての政府サービスに認証できるんだ。別に、物理的なIDのNFCチップをスキャンして生体情報と照合し、自撮りと比較してその身分で認証するアプリも提案されてるよ。

新しいパスワードは作れるけど、新しい目玉を手に入れるのは難しいよね。

漏洩したデータには、フルネーム、生年月日や出生地、郵送先やメールアドレス、電話番号が含まれている可能性がある。 残念ながら、ここには本当に新しい情報はないよ。私の情報は過去2~3年で半ダース以上漏れてるからね。企業や機関が受ける唯一の罰が「ユーザーに謝罪のメッセージを送ることと、二度と起こらないと言うこと」だけなら、何も変わらないよ。

え、無料のクレジットモニタリングが1ヶ月もないの?

残念ながら、ここに新しいことはないね。エクイファックスの事実。

GDPRはデータ漏洩に対して厳しい罰金があるけど、政府機関には効かないんだよね。結局、誰かの金が政府のポケットから別の政府のポケットに移るだけ。必要なのは、漏洩があった政府機関のトップを自動的に解雇することだよ。理由は問わずに。

Hacker Newsで議論の続きを見る