ハクソク

世界を動かす技術を、日本語で。

フランス、国民IDを管理する政府機関でのデータ侵害を確認

17日前原文(techcrunch.com)

概要

  • フランス政府機関 であるANTSが 大規模な個人情報漏洩 を発表
  • 漏洩した情報には 氏名、誕生日、住所、連絡先 などが含まれる可能性
  • 影響人数は未公表 だが、数百万規模の可能性
  • ハッカーが 1,900万件のデータ販売 を掲示板で主張
  • 調査と被害者への通知 が進行中

フランス政府機関ANTSの大規模個人情報漏洩

  • Agence Nationale des Titres Sécurisés(ANTS) による個人情報漏洩の発表
    • 国民ID、パスポート、移民関連書類の発行・管理を担う政府機関
  • 2026年4月15日 に攻撃を検知
    • 詳細な侵入経路や被害範囲は調査中
  • 漏洩した可能性のある情報
    • 氏名
    • 生年月日・出生地
    • 郵送・メールアドレス
    • 電話番号
  • 影響を受けた市民数は 未公表
    • 一部報道では 数百万人規模 の被害と指摘
  • Bleeping Computer によると、ハッカーが 1,900万件のデータ をハッキングフォーラムで販売と主張
    • 掲載内容はANTS発表と一致
    • フォーラム投稿は ANTSの公式発表前 に行われていた

今後の対応と注意点

  • 調査の継続 と被害者への 個別通知 を実施中
  • 漏洩情報を悪用した フィッシング詐欺やなりすまし への警戒が必要
  • 公式発表や通知内容の 確認徹底 が推奨
  • 関連する セキュリティ対策の見直し が求められる

Hackerたちの意見

今日、影響を受けるっていうメールが来たんだけど、皮肉なことに私には何も変わらないんだよね。数年前にフランスの失業手当を扱う政府機関から同じデータが漏れちゃってたから。新しい仕事を見つけた後も、そのアカウントを削除するのを面倒くさがって放置してた私がバカだったわ。

記録用にコピーがあればいいな(AnthropicとOpenAIがデータセットに入れられるように :))

1900万人のフランス人! で、私、私、私。

ランサムウェアやデータ漏洩、データ保護について心配するのはやめた方がいいと思う。もうその船は出航しちゃったし、みんなの個人情報はすでに盗まれちゃってるからね。オンラインでの本人確認の方法を考えるべきだと思う(政府の給付金とかのために)。オランダや日本が国のデジタルアイデンティティシステムを使ってるって聞いたけど、どうやって機能してるのかはよくわからない。インドはバイオメトリクスをやってるし、アメリカは最終的にどうなるのか気になるな。

バイオメトリクスはまた漏洩するだけのものだし、ひどいアイデアだよ。もっと敏感な情報だからね(例えば、イラン戦争で使われたようにカメラで追跡されることもある)。この問題は、フェデレーテッドIDプロバイダーとMFAで長い間解決されてきたんだよ。何かを知っている(SSNや税番号、パスワード)ものの他に、何かを持っている(OTPデバイスや物理トークン)っていう仕組みね。ほとんどの政府はもちろん、バイオメトリクスを好むけど、国民のプライバシーは彼らが望んでいることとは真逆だからね。

現状を見ると、アメリカの解決策は結局、ターゲットでパンツをオンラインで買うために網膜スキャンが必要になるんじゃないかと思う。そのスキャンは私の声のプリントや運転免許証のスキャンと一緒にダークウェブに流出するんだろうな。

オンラインで人々の身分をどうやって確認するか考えよう。フランスはすでにいくつかの方法でそれをやってるよ。フランスコネクトのSSOがあって、これは連携されたSSOの一種。物理的に証明されたアカウントが少なくとも一つ必要で(郵便局からコード付きの手紙が送られてきて住所と身分を確認する、または郵便局に行ってIDの確認を受けるとか、税務署でも物理的な確認が必要な手続きがあるし、社会保障制度も同様)、それを使ってSSO経由で全ての政府サービスに認証できるんだ。別に、物理的なIDのNFCチップをスキャンして生体情報と照合し、自撮りと比較してその身分で認証するアプリも提案されてるよ。

新しいパスワードは作れるけど、新しい目玉を手に入れるのは難しいよね。

漏洩したデータには、フルネーム、生年月日や出生地、郵送先やメールアドレス、電話番号が含まれている可能性がある。 残念ながら、ここには本当に新しい情報はないよ。私の情報は過去2~3年で半ダース以上漏れてるからね。企業や機関が受ける唯一の罰が「ユーザーに謝罪のメッセージを送ることと、二度と起こらないと言うこと」だけなら、何も変わらないよ。

え、無料のクレジットモニタリングが1ヶ月もないの?

残念ながら、ここに新しいことはないね。エクイファックスの事実。

GDPRはデータ漏洩に対して厳しい罰金があるけど、政府機関には効かないんだよね。結局、誰かの金が政府のポケットから別の政府のポケットに移るだけ。必要なのは、漏洩があった政府機関のトップを自動的に解雇することだよ。理由は問わずに。

政府機関には罰則が効かないんだよね。結局、納税者がその費用を負担するだけだし、インセンティブにもならない。解決策は、ある政府機関に他の機関や病院、銀行、インフラ、大企業に対して積極的なペンテストを行う権限を与えることだと思う。民間と同じくらいの給料を支払ってね。問題を解決するための法的な期限を設けて、罰金(民間の場合)や情報セキュリティを担当している人の降格(政府機関の場合)を課すべき。コンプライアンスチェックリストやKPMGの「監査」なんてクソみたいなものは忘れて、政府が支援するハッカーに攻撃者のようにすべてに侵入させるべきだよ。フランスは過去1年でいろんなレベルで政府のハッキングがたくさんあったみたいだから、これは本当に必要だね。

そういえば、「1年間の無料クレジットモニタリング」のオファーを忘れないでね。今までにそんなのをたくさんもらった気がするから、全部にサインアップしたら、個人情報が今よりも倍の、たぶんハッキングされやすい場所に入ってることになるんじゃないかな。

でも問題なのは、政府機関からの情報だと、以前の漏洩データが有効になって、より価値が出てくることだよね。

また別の漏洩を見て、ローカルファーストのソフトウェアを見返すことにしたよ。https://lofi.so データ漏洩を防ぐために進展を図るなら、集中データが存在する理由に取り組むようなアーキテクチャの革新が必要だと思う。政府が中央権威である必要があっても、データを保存する方法で影響範囲を制限できる方法はないかな?これが役に立たない理由は無数にあるだろうけど、主流の選択肢が絶望と無力感なら、周辺で進展があるはずだよ。

それとも、政府は企業に対して、世界でのちょっとした行動や行為のために毎回KYCを求めるのをやめるべきなんじゃない?本当に必要な情報だけを求めるようにすればいいのに。バナナを買ったり、配達を注文したりする時に、なんでKYCが必要なの?漏洩や侵害が避けられないから、KYCこそが違法行為だよ。KYCの売り文句は詐欺やマネーロンダリングを防ぐことだったけど、実際にはそれを実現してない。『最大のマネーロンダリングの和解』を検索してみれば、5つの銀行と1つの暗号スキャンが出てくるよ。

みんながオンラインで「身分」確認をしているから、これらの詳細やその他の情報はすでにデータブローカーに渡ってるよ。ペルソナ…じゃなくて、パランティアは「生存確認」のための短い動画まで持ってるし、それにIDのスキャンもついてるんだよね。

こんなことは変わらないよ。会社や機関が受けるペナルティが「ユーザーに謝罪のメッセージを送るだけ」じゃ意味がないからね。フランス政府にフランス政府を罰してもらって、フランスの納税者のお金でフランス政府のミスを補填するってこと?

それが人生だね。

自分のデータを全部漏らすなんて、皮肉だと思う。新しいIDを作ったり修正したりする時に、ありとあらゆる身分証明書を送れって言ってくるくせに(例えば運転免許証に何かを追加する時とか)。どうせアクセスできるのにね。

身分を証明する必要があるから、IDを見せなきゃいけないし、向こうもシステムで確認するんだよね。あなたのコメントが理解できないな。

政府が私の個人データを何の価値もないかのように扱うなら、著作権のある作品も価値があるとは思わないよ。情報を基にした社会を作りたいなら、一番大事なグループを忘れちゃダメだよ。

どうなるか教えてね。理論的には自分の信念を貫くのは素晴らしいけど、そんな風に政府に立ち向かうのはほぼ確実に負け戦だよ。変化をもたらすにはもっといい方法があると思う。

これが、彼らがMicrosoftやアメリカの企業からすべてのシステムを簡単に移行できるって自慢した直後に起こるなんて、ちょっと面白いね。来年はLinuxデスクトップの年になるかも!

大事なことを忘れないで:これは、現在「子供を救う」ために、彼らの独自の身分確認システムを使って自分を特定することを求めているほぼすべての政府の能力レベルだよ。

古い官僚制度には一理あるよね。こういう違反を実行するのがかなり難しくなって、その価値も下がるから。そこで働く人たちがプロセスを守ることを確認して、誰も不正をしないようにすることで、民主的な参加も保障されてたしね。こういうシステムが違反されるのはみんな知ってた。問題は「いつ」起こるかであって、「もし」起こるかじゃない。便利さや監視、権威主義のためにこの道を進むなら、こういうシステムを設計する人たちは考えなきゃいけない。「このシステムが違反されたら…」ってね。そして、こういう出来事から人々やシステムを守るための良いストーリーを用意するべきだよ。