確認されたデータ侵害は、パラグアイ国民の個人を特定できる情報(PII)を含む740万件の記録がダークウェブで販売されているというものです。脅威アクターはデータを迅速に売りさばこうとしており、このデータがパラグアイ全土のユーザーを被害者にするために悪用されるのは時間の問題です。サイバー犯罪者はパラグアイの全市民に関する情報を販売に出し、身代金として740万ドル、すなわち市民1人あたり1ドルの支払いを要求しています。ランサムウェア・グループが国全体を恐喝しており、これは同国史上でも最も重大なサイバーセキュリティ事件の一つである可能性があります。象徴的な期限として2025年6月13日(金)が設定されています。
同国のサイバーセキュリティ問題に関する最初の報告は約2年前に現れ、影響を受けた政府システムの一つが侵害されたものの、データは公に公開されませんでした。当時、中国が南米を標的とした悪意あるサイバー活動に関与していると非難され、パラグアイが名指しで言及されました。
Flax Typhoon(中国国家と関連するサイバー・グループ)がパラグアイ政府ネットワークに侵入していたことが、パラグアイ情報通信技術省およびアスンシオンの米国大使館による共同声明で明らかになりました。Flax Typhoonは高度持続的脅威(APT)を実行しており、これは標的型で継続的なサイバー攻撃を意味します。この中国系グループはマルウェアを用いてシステムに侵入し、機微情報を抽出し、長期間にわたり秘匿した存在を維持しました。この事案ではデータ漏えいは確認されておらず、侵害された被害組織も公式には公表されていません。
それ以降も状況は改善しておらず、新たなサイバー攻撃が継続して発生しています。実際には単一の事件ではなく、国民全体に影響する複数の大規模データ侵害が発生しており、直近のものは数週間前に起きたばかりです。注目すべき点として、現時点まで公式声明は出されておらず、政府は被害者に通知していません。全国規模で市民に影響する漏えいは、金融詐欺やなりすましのリスクを高め、将来の偽情報や選挙介入キャンペーンにも悪用され得ます。
パラグアイは、複数の政府情報システムから持ち出されたPIIを含む 全人口に関するデータを失いました。注目すべきことに、身代金要求の中でアクターは同国指導部の腐敗と、市民データ保護への無関心を非難しています。アクターは自らを「傭兵」と位置づけ、「Cyber PMC」と名乗り、利益目的で政府システムを攻撃しました。外国国家がアクターを支援しているのか、また動機が純粋にサイバー犯罪に基づくものなのかは不明です。過去の中国による攻撃を踏まえると、この新たな動きはパラグアイに対するサイバー攻撃の増加を裏付けるものです。これらの「ハック&リーク」型の出来事は、国全体が大規模データ侵害により恐喝されたという点で、規模と範囲の面から今日知られているサイバーセキュリティ事件の中でも画期的なものと解釈され得ます。アクターは複数のサンプルを共有し、「時は刻々と過ぎている」と警告しました。
パラグアイ政府は公式声明で身代金の支払いを拒否し、750万人の市民情報がどのように盗まれたのかについては洞察を示さず、曖昧なコメントにとどまりました。漏えいが公開される数日前、パラグアイ大統領のTwitterアカウントがハッキングされました。
2025年6月13日 – 盗まれたデータは複数のアンダーグラウンド・フォーラムで公開されました。興味深いことに、データベースを含むZIPファイルに加えて、アクターはトレントファイルも公開し、他のインターネット利用者がP2Pネットワークを用いて市民記録を自由にダウンロードできるようにしました。注目すべきことに、このような手口は以前LockBit 3.0でも用いられていました。グループは、削除(テイクダウン)を防ぐために、トレントファイルを介してP2Pプラットフォームでデータ漏えいを拡散しました。なぜこの手口が重要なのでしょうか。第一に、たとえグループのインフラが部分的に妨害されても、RaaS運営者は分散型トレントネットワークを通じて盗難データを広範な層に提供できます。いったんダウンロードされると、これらのファイルを保有するユーザーは自動的にシーディングを開始し、トレントネットワーク内でこのデータを共有するピアノードとなります。これらのトレント型ランサムウェアリンクをダウンロードする人々は、海賊版映画や音楽を共有するユーザーと同様に、実質的にデータ漏えいの積極的参加者になります。この活動を止めることは、音楽・映画・テレビ業界がトレントトラッカーを通じたコンテンツ海賊版対策で直面している困難と同様に、大きな課題となります。
データには2025年のタイムスタンプが含まれており、これまで公に漏えいしたことはありませんでした。データが複数の異なるソースから盗まれたことを踏まえると、アクターは漏えいの規模を示そうとした可能性があります。現時点の評価では、影響を受けたシステムの一部は昨年侵害された可能性がありますが、そこから盗まれたデータが漏えいしたのは今になってからです。
はじめに
2025年5月28日 — Resecurityは、ダークウェブ上で脅威アクターが侵害された政府システムから盗まれたデータベースを提供していることを特定しました。そこには、パラグアイ国民の個人データを含む740万件超の記録が含まれていると推定されます。注目すべきことに、パラグアイの人口は約680万〜700万人であり、このデータ侵害は国のほぼ全ての市民に影響する可能性があります。人口700万人に対して740万件の記録があるのは、重複、死亡者の記録、パラグアイへ移住した市民の記録などが含まれるためです。この規模のデータ侵害は憂慮すべきであり、南米を標的とする脅威環境に重大な変化が生じている可能性を示しています。
脅威アクターはメッセージの中で、Gatito_FBI_Nzとして、パラグアイ情報通信技術大臣グスタボ・ビジャテに対する個人的な脅迫を行い、他の政府システムにも不正アクセスしたと主張しました。人口に影響するデータ侵害は国家安全保障に重大な影響を及ぼし得るものであり、サイバー犯罪アクターが国の指導部を脅す前例を作りかねません。
Resecurityは、同国ネットワークおよび重要インフラ内のサイバーセキュリティ事故対応を担う国家コンピュータ緊急対応チームであるCERT-PYと、関係する法執行当局に通知しました。収集したインテリジェンスに基づくと、このアクターはパラグアイだけでなく南米の複数国における主要政府システムへのサイバー攻撃にも関与しています。
背景
Gatito_FBI_Nzという別名で活動するアクターは、PIIを含む侵害記録の証拠を含む複数のサンプルを共有し、市民データを保存する政府システムの一つに侵入できたと述べました。証拠として、アクターは94万件の記録サンプルを無料で共有し、技術的問題を示す政府公式ウェブポータルのスクリーンショットも提示しました。アクターはデータの出所に関する追加の文脈を提供し、ダークウェブ上でデータセット全体を他者に販売する意思があることを示した可能性があります。
2025年5月29日時点で、脅威アクターが言及した影響を受けた可能性のあるシステムのウェブサイト(URL: https://tramites.antsv.gov.py)は、追加情報が提供されないままメンテナンス状態が続いていました。
2025年5月30日までに政府ポータルは復旧して稼働を再開し、多くのユーザーは何が起きたのかを知らないままでした。
具体的に何が侵害されたのか?
少なくとも2件の別個のデータ侵害があります。特に不可解だったのは、当初、脅威アクターが国内の登録済み接種者の情報を保存する「RVE」ワクチン接種システムがサイバー攻撃の標的だったと述べたことです。
しかし、ダークウェブで共有された最新のサンプルは、パラグアイ国家交通・道路安全庁(Agencia Nacional de Tránsito y Seguridad Vial de Paraguay:National Agency for Transit and Road Safety of Paraguay)に由来しています。Resecurityが確認したサンプルには、IDカード番号、内部フォリオ、生年月日、婚姻状況、印刷日、名前、巻(tomo)、国籍、職業、姓、証明書、性別などのPII情報が含まれていました。
“cedula”: 8412183,
“icFolio”: “139”,
“dateOfBirth”: “2014-12-19T00:00:00-05:00”,
“maritalStatus”: “ME”,
“printDate”: “2019-12-17T00:00:00-05:00”,
“names”: “ERNESTO DAVID”,
“icTomo”: “004”,
“nationalityBean”: “PARAGUAYAN”,
“professionBean”: “STUDENT”,
“lastName”: “BURHING VERA”,
“icRegistry”: “555”,
“icOfNational”: “117”,
“sex”: “M”,
“icFeccar”: “09042015”
Resecurityは漏えいデータセット内で特定された複数の被害者に連絡し、データが本物であることの確認を得ました。これまで被害者は、国のシステム侵害の結果として自分の記録が盗まれた可能性があることを示す警告を受け取っていませんでした。影響を受けた組織がデータ侵害を把握していたのか、あるいは被害者への通知が遅れているのかは不明です。2025年6月13日時点で、事件やデータ侵害の状況を明らかにする公式声明は出ていません。注目すべきことに、5月初旬には同じアクターが、パラグアイの別の未公表の政府システムに由来する5,598,639件の記録を販売に出していました。
記録サンプルの構造はまったく異なっており、以前に開示されたものとは別のシステムからデータが持ち出された可能性を示しています。
主なフィールドは以下のとおりです:
nombre1
nombre2
apellido1
apellido2
documento
sexo
fecha_nacimiento
servicio_salud
domicilio
domicilio_complemento
telefono
localidad
celular email
madre_nombre1
madre_nombre2
madre_apellido1
madre_apellido2
madre_documento
nombre3 padre_documento padre_nombre1
padre_nombre2
padre_apellido1
padre_apellido2
nombre_planilla
lugar_nacimiento
observaciones
madre_nombre
madre_telefono
padre_nombre
padre_telefono
departamento
municipio
barrio
etnia
最も注目すべきフィールドである「servicio_salud」(「医療サービス」)は、このデータセットが医療サービスと特定の関係を持つ可能性を示しています。人的情報(HUMINT)により、Resecurityはアクターから追加のアーティファクトを入手し、データがパラグアイ公衆衛生・社会福祉省(Ministry of Public Health and Social Welfare of Paraguay:Ministerio de Salud Publica y Bienestar Social)が管理するシステムの一つに由来する可能性を確認しました。
アクターは顧客ポータルへのログイン成功のスクリーンショットを共有し、開示された個人情報を示しました。アクターが共有したURL(https://rve.mspbs.gov.py)は、COVID-19のワクチン接種を受けた市民に関するデータを保存する政府情報システムに関連していました。
Resecurityは、500万件超の記録を含む入手データセットと文書IDを照合しました。一致により、侵害の正確な地点(rve.mspbs.gov.py)を確認できました。
これら2件のデータ侵害は、異なる時期に発生した可能性が高いです。
Resecurityはまた、脅威アクターから2つ目のアーティファクトも入手しました。そこではアクターが別の市民に関連する顧客ポータルにログインしていました。
当社の調査員は、追加の検証として、入手データセットとIDを照合して一致を確認しました。
アクターは異なる市民アカウントへのアクセス成功を確認できており、TTPとして、インフォスティーラーで盗まれた認証情報とAPI悪用の組み合わせを用いてデータを収集した可能性があります。
根本原因
アクターは侵害をどのように実行したかを具体的には明かしていません。このような漏えいは特定の脆弱性を悪用せずとも、露出したアクセス認証情報を利用することで発生し得ます。当社の分析では、高い確度で、インフォスティーラー活動がデータ侵害の根本原因である可能性があります。すなわち、IT担当者の一人または複数が悪意あるコードに感染し、認証情報が露出した可能性があります。
このような侵害は以前に発生していた可能性があり、アクターはデータを持ち出すためのアクセスを慎重に育成していたと考えられます。関与する情報量が膨大であることを踏まえると、この事案は数か月前、あるいはそれ以前に仕組まれていた可能性があります。
2件のデータ侵害の顕著な違いは、パラグアイ国家交通・道路安全庁(National Agency for Transit and Road Safety of Paraguay:Agencia Nacional de Tránsito y Seguridad Vial de Paraguay)から持ち出されたデータがMySQLダンプの形式で提示されているのに対し、パラグアイ公衆衛生・社会福祉省(Ministry of Public Health and Social Welfare of Paraguay:Ministerio de Salud Pública y Bienestar Social)の記録はCSVファイルとして共有されている点です。もちろん、アクターが持ち出しの過程で異なるファイル形式に変換した可能性もありますが、攻撃ベクトルがやや異なることを示しているのかもしれません。
このようなデータ侵害はパラグアイに限らず、他国でも発生しています。Resecurityは過去の脅威インテリジェンス報告書でこれらの事案の詳細を取り上げています:
入手可能な脅威インテリジェンスに基づき、Resecurityはインフォスティーラーのログを含むアーティファクトを入手し、影響を受けた両政府システムのIT担当者が侵害され、これらの侵害の発生源である可能性を確認しました。
したがって、データ侵害の根本原因として最も可能性が高いのは、従来型のハッキングではなく、特にLumma Stealerによるインフォスティーラー活動である可能性があります。収集したアーティファクトに基づくと、多数のサードパーティ・エンドポイントがこのインフォスティーラーにより侵害されています。脅威アクターは盗まれたアクセス認証情報を利用し、認証済みユーザーを装って利用可能な顧客ポータルを悪用できた可能性があります。
国家安全保障上の含意
この規模のデータ侵害は国民全体に被害を与えます。これは、脅威インテリジェンスを含む能動的なサイバーセキュリティ対策の重要性を浮き彫りにしています。
脅威アクターがパラグアイを攻撃した動機は何だったのでしょうか。答えは単純ではないかもしれません。というのも、この事件の背後にいるアクターが単なる従来型のサイバー犯罪者である可能性は低いからです。高度な諜報グループや国家主体が、自らの活動の隠れ蓑としてこのような手口を用い、関与のもっともらしい否認可能性を作り出すことは一般的です。アクターの主目的は、国民全体に関するデータを収集し、特定個人を標的化することだった可能性があります。しかし、アクターは機会主義的に攻撃を行い、この機微データを入手した可能性もあり、それは国内のほぼ全ての市民に影響し得ます。
ショーは続く
2025年5月31日 – el_faradoという別名の別アクターが、著名なダークウェブ・フォーラムに投稿を作成し、パラグアイのデータを販売に出しました。説明上はGatito_FBI_Nzの投稿に似ていましたが、実際には被害者数や想定される出所が異なっていました。
2025年6月02日 – Resecurityはこれらの主張を検証するため、アクターに連絡しました。人的情報(HUMINT)による関与の結果、アクターは持ち出したデータを人気のファイル共有プラットフォームにアップロードしました。
アクターによれば、データは新たな出所、または市民情報(「Registro Civil」)や選挙記録を保存する複数の政府システムに由来する可能性があります。
入手したアーティファクトに基づくと、データセットには関連するPII記録が含まれていました。ファイルの日付は2025年3月24日でしたが、実際のデータ侵害は別の時期に発生した可能性があります。
データセットは以前のものとは異なる構造であり、別の侵害元を裏付ける可能性があります。
注目すべきことに、このような大量の盗難データは、特定個人に関する詳細の相互相関を容易にし、外国情報機関だけでなく詐欺師にとっても関心の対象となり得ます。
入手記録を照合すると、ファイルの一つ(盗まれた戸籍データベース)が、別のアクターによって約2年前に漏えいしていたことが分かります。他のファイルはこれまで漏えいしておらず、2025年のタイムスタンプを含む記録が含まれています。同一アクターが再利用したのか、別の侵害の結果なのかは不明です。Resecurityは、盗まれたデータセット断片を含む過去の記録を回収しました。おそらくアクターは、侵害されたリソースの規模を示す追加情報としてそれを含め、新規で未公開のデータセットと混在させたのでしょう。
主要アクターの一人のプロフィールは、南米全域での複数の大規模データ侵害で知られています。彼はボリビア、ベネズエラ、エクアドルの複数の政府システムを侵害し、数百万件のPII記録を盗み出しました。提示している価格が高額ではないため、動機は完全には明らかではありません。おそらくこのような手口は、外国情報機関や国家支援アクターが、標的型諜報活動をサイバー犯罪活動の可能性という装いの下に隠し、帰属(アトリビューション)を曖昧にするために用いられることがあります。
このアクターは別名を何度も変更しており、過去にはLeakBoliviaおよびpenepinga154として知られていました。
彼が実行したすべてのデータ侵害は、データ窃取により数百万人規模の被害者を生み出しています。
注目すべきことに、アクターの一人のプロフィールは、「FunkSec」として知られる著名なランサムウェア・グループとも関連して既に知られており、同グループは複数のハッキングおよびリーク作戦に関与してきました。グループは2024年末に出現し、すでに85件超の被害者を主張しています。2024年12月、FunkSecはデータ漏えいサイトを立ち上げ、作戦の中央集約プラットフォームとなりました。ハックの告知に加え、同サイトにはDDoS攻撃を実行するツールや、RaaS(Ransomware-as-a-Service)モデル内の独自ソフトウェアも備わっています。FunkSecの被害者の多くは、米国、インド、イタリア、ブラジル、イスラエル、スペイン、モンゴルに所在します。分析によれば、同グループは、ハクティビズム関連の漏えいデータを再利用して悪名を得ようとする新参者で構成されている可能性が高いです。メンバーの一部は過去にハクティビズムで活動しており、ハクティビズム、サイバー犯罪、諜報の境界が曖昧になっていることを示しています。
現時点の評価では、これら2人のアクターは直接つながっていない可能性があり、動機も異なるかもしれません。 一方はランサムウェア活動と密接に結びついているのに対し、もう一方は独立したアクセスブローカー、すなわち実質的な傭兵として行動しています。こうしたアクターは、標的型サイバー攻撃を通じて関心のあるデータを取得するため、外国国家に雇われることが非常に多いです。過去の脅威インテリジェンス報告書でResecurityは、サイバー犯罪者と国家主体の間にある「細い境界線」を強調してきました。国家主体はコストを最適化し、攻撃の出所を曖昧にするため、ダークウェブで見つかる機会主義的な請負業者という「第三者」を利用します。
影のゲーム――舞台裏
これらの漏えいはパラグアイでは新しいものではありません。注目すべきことに、今回新たに明らかになった2件の事件は、パラグアイに影響した他の最近のデータ侵害の後に続くものです。2025年の数か月前、パラグアイでは公的機関に由来する2件の大規模データ侵害が発生しました。1件目は高等選挙裁判所(TSJE)に関するもので、700万人超の情報が露出しました。2件目は財務省、パラグアイ中央銀行、イタイプーに影響し、17,000件超の記録を含むファイルが公開されました。そこには、公務員への支払い、給与、氏名、ID番号などの機微データが含まれていました。2023年には国家警察でのデータ侵害により、拘束者の犯罪歴や写真を含む文書および個人データが露出しました。
確認されたデータ侵害やサイバー犯罪活動に加え、同国は偽情報とも積極的に戦っています。つい最近、パラグアイは、イタイプー・ビナシオナル水力発電所に関する機微情報を得るためにブラジルが政府システムを標的にしたとされるサイバー攻撃について調査を開始したと、外相ルベン・ラミレス・レツカノが確認しました。彼は、国家情報機関と技術・情報省(MITIC)が主張を調査しているものの、現時点では侵害の証拠は見つかっていないと述べました。さらにMITICのグスタボ・ビジャテ大臣は、これまで脆弱性は検出されていないとし、能動的なサイバーセキュリティ対策の重要性を強調しました。この調査はブラジルメディア、特にUOLの報道を受けて開始されました。UOLは、ブラジル情報庁(ABIN)が2022年6月、ジャイル・ボルソナロ前政権下でパラグアイのシステムをハッキングし、イタイプー料金交渉に関する機密データにアクセスしたと主張しました。
パラグアイおよび南米の他国を標的とするサイバー攻撃とデータ侵害の激しさは憂慮すべきものです。Resecurityは、市民のPIIを保存する政府情報システムやポータルを侵害しようとする外国の脅威アクターの取り組みが増大していることを強調します。
重要性
パラグアイにおけるデジタルIDに影響するデータ侵害の増加は、南米のサイバー脅威環境の動態を浮き彫りにしている可能性があります。こうした事件は、相互接続が進むこの地域における同国の重要性が高まっていることも示しているのかもしれません。
地政学的課題が激化し、今回および他の侵害が重なる中で、パラグアイを標的とするサイバー攻撃は増加すると予想され、防御を加速する必要性が強調されます。パラグアイ当局は、サイバー脅威インテリジェンスを適時かつ実用的に交換できるよう、公民連携(Public-Private Partnerships)を確立し、政府機関および主要企業を継続的なサイバー脅威から守るための保護を強化すべきです。
Resecurityはこの傾向が継続すると見ており、関係する法執行機関に本件を通知するとともに、特定されたデータ侵害に関する追加の洞察を共有し、より多くの文脈を提供しました。
