フランス政府メッセージングサービス、アカウント乗っ取り攻撃で侵害される

フランス政府のデジタル担当機関であるDINUMは、ハッカーが乗っ取ったユーザーアカウントを悪用し、フランス政府の暗号化メッセージングプラットフォーム「Tchap」に侵入したと警告しました。

Tchapは、2018年にDINUMがANSSI（フランスサイバーセキュリティ庁）と協力して自社開発したインスタントメッセージングサービス兼コラボレーションツールです。分散型Matrixプロトコルをベースに構築されており、フランスの公共部門専用に設計されています。

Tchapは現在、月間30万人以上のユーザーを抱え、Google Playストアでのダウンロードも50万件超を記録しています。これは、François Bayrou首相が2025年8月初頭にすべての公務員に対してTchapの利用を義務付け、業務連絡での外国製アプリを禁止したことを受けたものです。

DINUMは月曜日に、ANSSIが日曜日にTchapへの侵害を検知したことを明らかにし、脅威アクターが侵害されたユーザーアカウントを使用してこのセキュアなインスタントメッセージングプラットフォームへのアクセスを取得したと発表しました。

フランスのデジタル担当機関はまた、攻撃者がアクセスした会話内で一部のユーザーが共有した個人データが漏洩した可能性があるとして、フランスのデータ保護当局CNILにも本インシデントを報告しました。あわせてすべてのTchapユーザーに対し、公開チャットルームはいかなるユーザーも検索・参加でき、暗号化されていないことを改めて周知しています。

「現時点で、悪意のあるリクエストの発信元となったアカウントを特定しました。攻撃者の持続的なアクセスを排除し、アクセスされたデータを徹底的に分析するため、当該アカウントは直ちにブロックしました。攻撃者がアクセスした会話の特定および流出データの性質を明らかにするため、イベントログの調査を含む捜査を継続しています」と、DINUMは月曜日のプレスリリースで述べています。

「公開チャットルームはいかなるユーザーも見つけて参加でき、コンテンツは暗号化されていないことを改めてお知らせするメッセージを、すべてのTchapユーザーに送信しました。Tchapの利用規約に基づき、公開チャットルームでは個人情報・機密情報・秘密情報の交換を行ってはなりません。そのようなやり取りはプライベートチャットルームに限定する必要があります。」

DINUMは今回の侵害に関するこれ以上の詳細を公表していませんが、ある脅威アクターが週末にインシデントへの関与を表明し、盗んだファイルのサンプルを公開するとともに、ソーシャルエンジニアリング攻撃を経てプラットフォームへのアクセスを取得したと主張しています。

​「教育シャード（matrix.agent.education.tchap.gouv.fr）上の有効なアカウントをソーシャルエンジニアリングで入手しました。以下の内容はすべてその1つのアカウントからアクセスできたものです。他のシャードではさらに多くのデータが取得できるでしょう」と彼らは述べています。

​また彼らは、フランス税務当局の地域ディレクターが共有したPowerShellスクリプトを通じて漏洩したとされるハードコードされたLDAP認証情報と、公務員がTchapサービスで共有した13.5GB超のドキュメントおよびメディアファイルを盗んだと主張しています。

脅威アクターはさらに、メールアドレス、組織情報、会議リンク、アカウントおよびデバイスのメタデータを含む7万3,000件超のアカウント情報と、65万件近くのメッセージをスクレイピングしたとされています。

「Tchap上のいずれかのシャードで共有されたすべてのファイルは、トークンなしでダウンロード可能です」と彼らは付け加えています。「メディアIDはメッセージから取得できます。メディアURLを含むメッセージさえ入手すれば、どのシャードがホストしているかに関わらず、ファイルを自由に取得できます。」

BleepingComputerはDINUMにインシデントに関する質問を送りましたが、現時点で回答は得られていません。

先月、フランス当局は15歳の少年を拘束しました。この少年は、公式身分証明書・登録書類の発行・管理を担う国家機関ANTS（Agence nationale des titres sécurisés）に対する4月のサイバー攻撃で窃取されたデータを販売したとして疑われています。