フランス政府の暗号化通信プラットフォームTchapがハッキングされ、個人情報が影響を受ける可能性がある。

フランス政府デジタル局（DINUM）は最近、ハッカーが正規のユーザーアカウントをハイジャックすることでフランス政府の内部暗号化通信プラットフォームTchapへの侵入に成功し、その結果会話中に一部のユーザーが共有した個人情報に不正アクセスされた可能性があるとのセキュリティ勧告を発表した。

Tchap は、2018 年にフランス政府デジタル局とフランス国家情報システムセキュリティ局 (ANSSI) によって共同開発されました。これは分散型 Matrix プロトコルに基づいており、フランスの公共部門にサービスを提供するインスタント メッセージングおよび共同オフィス ツールとして位置付けられています。公共サービスシステムのユーザーのみに公開されています。このアプリは発売以来成長を続け、現在ではフランスの公共部門で月間アクティブ ユーザー数が 30 万人を超え、Google Play ストアでは 50 万回以上ダウンロードされています。 2025 年 8 月初旬、フランスのフランソワ バイルー首相は、すべての公務員に公式通信で Tchap を使用することを義務付ける通知を出し、外国メーカーの通信アプリケーションの使用を禁止しました。これにより、プラットフォームの使用範囲とデータ伝送容量が大幅に拡大されました。

DINUMは月曜日に発行されたプレスリリースの中で、ANSSIが日曜日にTchapプラットフォーム上で異常な侵入行為を初めて検出したことを明らかにした。予備調査の結果、攻撃者は侵害されたユーザーのアカウントを介してシステムに侵入し、暗号化された通信プラットフォームにアクセスしたことが確認されました。チャット内で一部のユーザーが共有した個人データが攻撃者によってアクセスまたはエクスポートされた可能性があるため、DINUMは事件後、フランスのデータ保護規制当局CNILにセキュリティインシデントを報告した。同時に、DINUM はすべての Tchap ユーザーにリマインダーを発行し、プラットフォーム上のパブリック チャット ルームはすべての登録ユーザーに公開されており、そのようなパブリック ルームのコンテンツには暗号化保護が有効になっていないことを強調しました。

DINUMは、攻撃者の継続的なアクセスチャネルを遮断し、その後のアクセス範囲と潜在的なデータ漏洩の詳細な分析のための条件を作り出すために、問題を発見した直後に、悪意のあるリクエストの発信元となった特定のアカウントをロックし、禁止したと述べた。現在も調査が続いており、技術チームはイベント ログの詳細な比較を行って、攻撃者がアクセスしたセッション、送信された可能性のあるデータの種類と範囲を特定しています。当局者らはまた、個人情報、機密情報、機密情報はTchapのパブリックチャットルームで共有されるべきではなく、そのようなコンテンツはプライベートチャットルームでのみ伝達されなければならないと繰り返し述べ、これはプラットフォームの利用規約の明確な要件である。

DINUMはこれ以上の技術的な詳細を明らかにしていないが、攻撃者は先週末の事件の犯行声明を率先して行い、Tchapから盗まれたとされるファイルのサンプルを公開し、ソーシャルエンジニアリング攻撃を行った後にプラットフォームにアクセスしたと主張した。攻撃者は「ソーシャル エンジニアリングを通じて教育シャード (matrix.agent.education.tchap.gouv.fr) の有効なアカウントへのアクセスを取得した」と主張し、公開されたデータはこの 1 つのアカウントがアクセスできるコンテンツのみであり、他のシャードにはさらに多くのデータが存在する可能性があると強調しました。

彼ら自身の説明によると、この攻撃では、スクリプトにハードコーディングされていると思われる LDAP 認証情報を取得しました。これらの認証情報は、フランス税務局の地域ディレクターが共有した PowerShell スクリプトからのものであるとされています。さらに、攻撃者らは、フランス公務員が日常的に使用する際にアップロードおよび共有されていた 13.5 GB 以上の文書およびメディア ファイルを Tchap プラットフォームからエクスポートしたと主張しました。さらに、ユーザーの電子メール アドレス、所属情報、会議リンク、アカウントとデバイスのメタデータなどの機密要素を含む、73,000 を超えるアカウントの約 650,000 件のメッセージ レコードと関連情報が収集されたと述べています。

技術的な詳細に関して、攻撃者らはまた、Tchap のアーキテクチャには重大な欠陥がある、つまり「プラットフォーム内のシャードで共有されているすべてのファイルはトークンなしでダウンロードできる」と主張しました。それによると、メディア URL を含むメッセージ コンテンツを取得すると、そのメディア ID を使用して、ファイルが配置されているシャードに制限されることなく、認証なしで対応するファイルを直接ダウンロードできます。現時点では、DINUM は上記の具体的な技術的脆弱性やデータ規模を正式に確認していません。 BleepingComputer はこの件について DINUM に問い合わせを送信しましたが、本記事の時点で返答は得られていません。

注目に値するのは、つい先月、フランスが国家安全保障文書庁ANTS（公的身分証明書と登録文書の発行と管理を担当する国家機関）から盗んだデータを販売した疑いで15歳の10代の容疑者を通報し、逮捕したことだ。この事件は、今年4月のANTSへのサイバー攻撃に端を発し、その後、攻撃者が盗んだデータを地下フォーラムで販売したため、社会に広範な懸念を引き起こした。今回の Tchap 侵入事件は、デジタル変革の過程でフランスの公共部門が直面する複雑なネットワーク セキュリティの課題を改めて浮き彫りにしました。また、政府の内部通信プラットフォームのアカウントセキュリティ管理、アクセス制御、データ暗号化戦略についても、より高い要件が課されています。