フランスの雇用機関「フランス・トラヴァイユ」は、数十万人の求職者に影響を及ぼす可能性のあるデータ漏洩の被害を受けました。
同機関は7月22日、利用者にメールを送り、パートナー向けに提供している「雇用」ポータルで7月13日にデータ漏洩が検知されたことを警告しました。
この漏洩により、34万人の利用者の氏名、郵便・メールアドレス、電話番号、フランス・トラヴァイユの識別子、求職者ステータスなどの個人情報が流出した可能性があります。同機関は、利用者のパスワードや銀行情報は影響を受けていないとしています。
「しかしながら、フィッシング詐欺のリスクには引き続きご注意ください」と、雇用機関の公式声明は警告しています。
インフォスティーラーによるサイバー攻撃で2要素認証のセキュリティギャップが浮き彫りに
フランスのテックニュースサイトNextによると、この漏洩はフランスのサイバーセキュリティ機関(ANSSI)のコンピュータ緊急対応チーム(CERT-FR)によって7月12日に検知されました。
この流出は、イゼール県に拠点を置く研修機関に関連するユーザーアカウントがインフォスティーラーマルウェアによって侵害されたことが原因と考えられています。攻撃者はその後、研修機関が求職者の研修進捗を追跡できるアプリケーション「Kairos」へのアクセスを獲得しました。
「サービスは直ちに停止され、パートナー向け雇用ポータル上でホストされていた他のすべてのサービスも停止されました」とフランス・トラヴァイユの広報担当者はNextに語りました。
フランス・トラヴァイユはフランス当局に被害届を提出し、フランスのデータ保護機関(CNIL)に通知し、影響を受けた個人にも連絡しました。
予防的措置として停止されたサービス(雇用ポータルやKairosを含む)は、7月24日に再開される予定です。
フランス・トラヴァイユは、セキュリティ対策を強化し、Kairos向けの2要素認証(2FA)の導入を加速したと述べています。当初は2026年10月に予定されていました。
フランス・トラヴァイユがデータ漏洩の被害を受けるのは、この2年間で2度目です。2024年3月には、悪意のある攻撃者が同機関のITシステムおよびCap Emploi(障害者の就労支援を行う政府の雇用サービス)のシステムを標的にしました。これにより、過去20年間に登録した利用者の個人データ、最大4,300万人分が流出した可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/france-data-breach-jobseekers/