フランス当局は、政府の安全なメッセージングプラットフォーム「Tchap」への侵害を調査しています。ハッカーがユーザーアカウントを乗っ取り、公開チャットルームへのアクセスを取得したことが明らかになりました。
Tchapは、公務員・省庁・公共機関向けのフランス政府メッセージングプラットフォームです。オープンソースのMatrixプロトコルをベースに構築されており、政府の通信を外国のテクノロジー企業ではなく、フランス国家が管理するインフラ上で行うことを目的として開発されました。
デジタル行政省庁間総局(DINUM)によると、今回のインシデントはフランスの国家サイバーセキュリティ機関ANSSIによって6月7日に検知されました。
発見を受けDINUMは、アカウントがどのようにして侵害されたか、どのようなデータへのアクセスが行われた可能性があるか、そしてインシデントを封じ込めるために必要な手順は何かを明らかにするための調査を開始しました。
「現時点で、悪意あるリクエストの発信元となったアカウントを特定しています。攻撃者の持続的なアクセスを遮断し、アクセスされたデータの詳細な分析を可能にするため、該当アカウントは直ちにブロックされました」とDINUMは述べています。
当局は、今回のインシデントがエンドツーエンド暗号化によって保護されたプライベートな会話には影響しないと説明しています。DINUMによれば、侵害されたアカウントを通じてアクセス可能な情報は、全Tchapユーザーに公開されておりメッセージが暗号化されていない公開チャットルームに限定されるとのことです。
フランス当局が侵害の範囲は限定的だと説明する一方、ハッカーを名乗る人物は73,467件のユーザーアカウント、643,459件のメッセージ、メッセージ履歴を含む876件のチャットルーム、合計13.51 GBに及ぶ59,386件のメディアファイル、さらにフランス政府の配布制限区分である「Diffusion Restreinte」と記された文書への参照を入手したと主張しています。アクセスはTchapの教育環境に関連するアカウントへのソーシャルエンジニアリングによって行われたとされています。
これらの主張はいずれも独立した機関による検証が行われておらず、攻撃者が実際にどの程度のデータにアクセスできたかは依然として不明です。
DINUMはまた、攻撃者がアクセス可能な会話において一部ユーザーが共有した個人データが漏洩した可能性があるとして、フランスのデータ保護機関であるCNILに報告しました。さらに、公開チャットルームはすべてのユーザーがアクセス可能であり暗号化されていない点について、Tchapユーザーへの注意喚起も行っています。
翻訳元: https://www.helpnetsecurity.com/2026/06/09/tchap-french-government-secure-messaging-platform-breach/
