フランスのデータ保護規制当局CNILは本日、データ侵害に起因するGDPR違反を理由に、フランスの通信会社2社に対し合計4,200万ユーロ(4,890万ドル)の制裁金を科した。
FreeとFree Mobileはそれぞれ固定回線サービスとモバイルサービスを管轄する別会社で、いずれもIliad Groupが所有している。制裁金は、2024年10月の侵害に関連するもので、IBANなどの金融情報を含む2,400万人超の個人データが侵害された。
CNILは判断の中で、攻撃は2024年9月28日に始まり、両社は責任を負う攻撃者からのメッセージにより10月21日に侵入を把握したと指摘した。Freeは翌日、攻撃者を自社システムから排除した。
攻撃者は、まず同社のVPNを経由してFreeのネットワークにアクセスし、その後、Free Mobileの加入者管理ツール「MOBO」に接続した。当時、攻撃者がアクセスできたのはFree MobileのアプリケーションであるMOBOのみだったが、MOBOでは、サービス加入者であることを条件に、FreeおよびFree Mobile双方の顧客データ(IBANを含む)を検索できた。
攻撃の事後分析により、攻撃者は2024年10月6日から顧客記録の持ち出しを開始していたことが判明した。対象には、固定・モバイル契約の合計24,633,469件に関する記録が含まれていた。内訳は、Free Mobileの契約が19,460,891件、Freeの契約が5,172,577件だった。
攻撃当時、Free Mobileの加入者は約1,550万人、Freeは約760万人だった。両社にはそれぞれ2,700万ユーロ(3,140万ドル)と1,500万ユーロ(1,740万ドル)の制裁金が科された。これは、Iliadが2024年に計上した売上高100億ユーロと利益3億6,700万ユーロに基づく。
規制当局は、両社がGDPRに3つの点で違反したと述べた。すなわち、個人データを適切に保護しなかったこと、影響を受けた人々への侵害通知が不十分だったこと、そしてデータ保持に関する法令を遵守しなかったことだ。
制裁金の発表に際し、CNILは次のように述べた。「制裁部会は、データ侵害当日に、攻撃をより困難にし得た基本的なセキュリティ対策の一部が、両社で実装されていなかったと認定した。
「とりわけ、Free MobileのVPNおよびFreeのVPN(特に従業員のリモートワークで使用される)への接続に用いられる認証手順が、十分に堅牢ではなかった点を指摘した。
「さらに、Free MobileおよびFreeが情報システム上の異常行動を検知するために展開していた対策は有効に機能していなかった。」
制裁金の決定にあたっては、盗まれたデータの性質に加え、両社のデータ保持方針も考慮された。
CNILは、FreeとFree Mobileの双方において、元加入者のデータを、会計目的で必要な情報のみを保持する形で整理するために必要な能力が欠けていたと指摘した。
また、攻撃当時、十分なデータ削除メカニズムも備えておらず、ユーザーへの通知に関しては、最初のメールに、影響の結果を包括的に理解するためにユーザーが必要とする重要な詳細が欠けていた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/14/france_fines_free_free_mobile/
