フランスは、内務省が攻撃者による内部メールシステムへの侵入と内部ファイルへのアクセスを確認したことを受け、近年で最も深刻な公共部門のサイバーセキュリティ事件の一つへの対応を迫られている。
しかし、当初は限定的な事案に見えたものが、再始動したばかりのBreachForumsの管理者が「Indra」という別名で名乗り出て犯行声明を出し、侵入の深刻さを政府が過小評価していると公然と非難したことで、事態はまったく異なる様相を帯びた。
最初の詳細と公式対応
内務大臣ローラン・ニュニェスによれば、侵害は12月11日から12日にかけての夜間に検知された。ニュニェスは、攻撃者が複数の内部文書にアクセスしたと述べた一方で、データ窃取があったかどうかの確認は避けた。
同氏は公の場で、内務省のメールサーバーへの不正アクセスがあったことを認めつつ、ファイルが深刻に侵害されたことを示す証拠はないと強調した。政府システム全体でセキュリティ手順が強化され、司法捜査が開始された。
BreachForums、報復とより広範なアクセスを主張
しかし舞台裏では、まったく異なる出来事の説明が、数か月の停止を経て新ドメインで最近再出現した著名なサイバー犯罪プラットフォームBreachForums上で浮上した。
管理者のIndraは長文の投稿を公開し、攻撃の直接的な実行者であると主張するとともに、フランス当局が真実を隠していると非難した。投稿では、この攻撃をメンバーの逮捕、特に過去のBreachForums運営に関与していたとされるShinyHuntersの逮捕への報復として位置づけた。
TAJ、FPRなどへのアクセス主張
Indraによれば、侵害はメールサーバーにとどまらなかったという。フォーラム投稿では、フランスの犯罪記録処理システムTAJ、全国指名手配者データベースFPR、さらにインターポールに関連するシステムを含む、複数の機微な法執行・政府データベースへのアクセスがあったと主張された。
さらに、税務、年金、車両登録のプラットフォームへのアクセスにも言及があった。Indraは、1,600万件を超える個人記録にアクセス可能だったと主張しており、この数字は通常の照会上限を大きく上回る。
スクリーンショットと最後通牒
これらの主張を裏付けるものとして、投稿にはフランス警察システムに紐づく内部検索結果やインターフェースを示すとされるスクリーンショットが含まれていた。ある画像では結果カウンターが1,600万件超を表示しており、他の画像は身元記録や内部ツールを示しているように見える。フランス当局は、これらスクリーンショットの真正性やデータ露出の範囲について、公には確認していない。
フォーラム投稿は明確な最後通牒も突きつけた。Indraは、XMPPを通じて連絡し、疑惑のデータの扱いについて交渉を開始するよう、フランス政府に1週間の猶予を与えた。メッセージでは2つの選択肢が提示された。支払い後にデータを削除するか、BreachForumsコミュニティに情報を販売するかである。身代金額は公表されていない。
逮捕は実施、身元はなお未確認
フランス検察は迅速に動いた。12月17日、パリ検察庁のサイバー犯罪部門が主導する捜査の一環として、当局は22歳の容疑者を逮捕した。
パリ検察庁のプレスリリース(PDF)によると、2003年生まれの当該人物は、組織的集団によって行われた国家運用の自動データ処理システムへの不正アクセスに関連する容疑で身柄を拘束された。検察は、容疑者が2025年初頭に同種の犯罪で前科があることも確認した。
フランスのサイバー犯罪対策中央局(OFAC)の捜査官は、侵害の分析を継続している。当局は、拘束期間が終了次第、追加の情報発信を行うとしている。現時点で当局は、逮捕された人物がIndraであるかどうか、また追加の容疑者が関与しているかどうかを確認していない。
翻訳元: https://hackread.com/france-arrests-hacker-interior-ministry-systems/
