「misere」というエイリアスを使う脅威アクターが、フランス政府の公式暗号化メッセージングプラットフォーム「Tchap」への侵害を主張し、約13.51GBの機密内部データを窃取したとしています。
ThreatMonによると、Tchapはフランスの国家所有メッセージングアプリケーションで、省庁間デジタル業務局(DINUM)が開発し、オープンソースのMatrix/Synapsプロトコル上に構築されています。
2025年9月からすべてのフランス公務員に義務付けられたこのプラットフォームは、SignalやWhatsAppといった商用アプリの政府公認の代替として機能しており、主要省庁全体で825,000人以上の公務員が登録しています。
フランスの国家サイバーセキュリティ機関であるANSSIは、正規ユーザーアカウントがソーシャルエンジニアリングによって乗っ取られた後、2026年6月7日に本侵害を検知しました。
同プラットフォームは複数のシャードで運用されており、省庁グループごとに1つ割り当てられています。プライベートな会話にはエンドツーエンド暗号化をサポートしていますが、パブリックチャットルームは明示的には暗号化されていません。
脅威アクターは、教育省のシャード(matrix.agent.education.tchap.gouv.fr)経由でアクセスを獲得し、その後プラットフォームのシャード間で分離されていないユーザーディレクトリを悪用して、すべての省庁のアカウントを列挙したと主張しています。
パブリックチャットルームは認証済みのTchapユーザーであれば誰でもアクセスでき、メッセージも暗号化されていないため、侵害されたアカウントは暗号化データに関するアラートを即座に発動させることなく、大量の内部通信をスクレイピングすることができました。
ダークウェブへの脅威アクターの投稿によると、今回の侵害で驚異的な量の政府データが流出しました。
プラットフォームのシャード間で分離されていないユーザーディレクトリにより、合計73,467件の政府ユーザーアカウントが影響を受け、教育アカウントがアクセス可能なルームから643,459件のメッセージが収集されました。また、完全なメッセージを含む876件のディスカッションルームも対象となっています。
攻撃者はさらに、認証なしですべてのシャードから合計13.51GBにおよぶ59,386件のメディアファイルを取得しており、そのデータセットにはフランスの政府機密区分の一つである「Diffusion Restreinte(配布制限)」コンテンツが90件含まれているとされています。
DINUMは、流出した可能性のある個人データには少なくとも、氏名、政府公式メールアドレス、所属組織情報、プロフィールアバターが含まれると確認しています。
攻撃者はさらに、内部のZoomおよびWebex会議リンク、デバイスメタデータ、内務省・財務省・国防省・司法省・国民教育省にまたがる省庁間コラボレーションチャンネルにもアクセスしたとされています。
DINUMは侵害されたアカウントを特定後ただちにブロックし、ANSSIと連携した調査を開始しました。
同機関はまた、適用される規制上の義務に基づき、個人データが流出した可能性についてフランスのデータ保護当局であるCNILに正式に通知しました。
すべてのTchapユーザーに対してプラットフォーム全体への通知が発行され、パブリックチャットルームには暗号化保護がないことが改めて周知されました。記事公開時点で、フランス当局はプライベートメッセージの機密性は損なわれていないと説明しています。
今回の事件は、政府のコラボレーションプラットフォームにおける重大なアーキテクチャ上のリスクを浮き彫りにしています。Matrixベースの環境におけるパブリックルームは、認証済みユーザーであれば誰にでもアクセスできる構造になっており、いかなるソフトウェア脆弱性も悪用することなく、ソーシャルエンジニアリングで乗っ取られたたった1つのアカウントだけで膨大な量の機密データを収集するのに十分であったことを示しています。
翻訳元: https://cyberpress.org/tchap-messenger-breach-exposes/
