フランス政府メッセンジャー「Tchap」で情報漏洩、公務員7万3,000人超に影響

フランス政府は、暗号化メッセージングプラットフォーム「Tchap」で最近発生した情報漏洩により、フランス公共部門の7万3,000人超の職員アカウントが影響を受けたことを明らかにしました。

フランス政府のデジタル問題局であるDINUMは月曜日に公表し、脅威アクターが侵害されたユーザーアカウントを使ってTchapプラットフォームへのアクセスを取得したことを明らかにしました。また、一部ユーザーが共有した個人データが流出した可能性があるとして、フランスのデータ保護機関（CNIL）にも通知しています。

当初、何が流出し何人が影響を受けたかについてほとんど詳細を公開していませんでしたが、DINUMはその後の更新情報で、攻撃者がプラットフォームの全登録ユーザーの約9%が共有した情報にアクセスした可能性があることを明らかにしました。

DINUMによると、プライベートな会話は暗号化されてコンテンツが保護されているものの、攻撃者は暗号化されていないパブリックチャットルームで共有されたすべてのデータを窃取できたとのことです。これにより、ユーザーの氏名やメールアドレス、アバター画像、所属する公共機関の情報が収集された可能性があります。

「82万5,000人超の登録エージェントのうち、7万3,467人のエージェントがこのインシデントの影響を受ける可能性があります。これは登録ユーザーの9%未満に相当します。これらのフォーラムは設計上、すべてのユーザーに開放されており、メッセージは暗号化されていません。職員のプライベートな会話は引き続き保護されています」と同局は述べています。

「現時点で、悪意あるリクエストの背後にあるアカウントが特定されました。攻撃者の持続的なアクセスを排除し、アクセスされたデータの詳細な分析を可能にするため、このアカウントは直ちにブロックされました。ユーザーアカウントから流出した可能性のあるデータには、少なくとも姓、名、メールアドレス、所属機関、アバターが含まれます。」

DINUMはまだこの侵害の帰属を特定していませんが、週末に脅威アクターが攻撃への関与を主張し、窃取したファイルのサンプルを公開しました。同アクターはソーシャルエンジニアリング攻撃を通じてプラットフォームへのアクセスを取得したと述べています。

この脅威アクターは、約65万件のメッセージと7万3,000人超のアカウント情報をスクレイピングしたと主張しており、その内容にはメールアドレス、ミーティングリンク、組織情報のほか、アカウントおよびデバイスのメタデータが含まれるとしています。

さらに、Tchapサービスを通じて公務員が共有した13.5GB超のドキュメントやメディアファイルに加え、PowerShellスクリプト経由で漏洩したハードコードされたLDAP認証情報も窃取したとされています。

Tchapは2018年にDINUMがANSSI（フランスサイバーセキュリティ機関）と共同で開発した、Matrixプロトコルをベースとするフランス公共部門向けの分散型コラボレーションツール兼インスタントメッセージングプラットフォームです。

2025年8月上旬にすべての公務員の業務コミュニケーション向けデフォルトアプリとなって以来、Tchapは月間30万人超のユーザーを獲得し、現在Google PlayストアではGoogle Playストアで50万件超のダウンロード数を記録しています。

5月には、身分証明書や登録書類の発行・管理を担う機関ANTS（Agence nationale des titres sécurisés）への4月のサイバー攻撃で盗まれたデータを販売していたとして、フランス当局が15歳の少年を逮捕しています。