フランス政府の暗号化メッセージングサービス「Tchap」に不正侵入が発生しました。このインシデントは、人的ミスがあらゆるセキュリティシステムの弱点となり得ることを改めて示すものとなっています。
Tchapはフランスが国家主権の観点から独自に開発したサービスです。政府職員間のコミュニケーションにおいて、WhatsAppよりも安全な選択肢を提供することを目的として設計されました。
今回の侵入において、問題があったのは技術ではなく利用者側でした。フランス政府の省庁間デジタル局であるDINUMによると、侵入者はあるユーザーのアカウントを乗っ取ることでシステムへのアクセスを得たとのことです。
DINUMは、該当ユーザーのアクセスをすでにブロックし、情報漏洩の範囲について調査を進めていると発表しました。システムの暗号化自体は破られていないものの、侵入者は乗っ取ったアカウントからアクセス可能な、暗号化されていない公開チャットルームを閲覧できた状態にあったといいます。この影響を受けた可能性のあるユーザー数は、システム全体の825,000人のうち73,467人にのぼるとDINUMは説明しています。
この内容は、X(旧Twitter)に投稿された侵入者の主張と少なくとも一部一致しています。その投稿によると、侵入者はソーシャルエンジニアリングを通じて教育分野のTchapユーザーのアカウントに不正アクセスし、73,467件のユーザーアカウント、643,459件のメッセージ、メッセージ履歴を含む876件のチャットルーム、および合計13.51GBにのぼる59,386件のメディアファイルを窃取したと主張しており、「Diffusion Restreinte(配布制限)」と分類された文書への参照も含まれていたとされています。
DINUMはTchapの全ユーザーに対し、公開チャットルームはすべてのユーザーがアクセス可能であり暗号化されていないため、機密性の高い情報や秘密情報の投稿は控えるよう改めて注意を呼びかけています。
翻訳元: https://www.csoonline.com/article/4184576/french-governments-secure-messaging-system-breached.html
