概要
フランス内務省傘下の国家安全書類機関「France Titres(ANTS: Agence Nationale des Titres Sécurisés)」は2026年4月、同機関のオンラインポータルに対するサイバー攻撃によるデータ侵害を公式に認めた。ANTSはパスポート、国民IDカード、運転免許証、在留資格証明書など、フランス市民の主要な身分証明書の発行・管理を担う機関である。侵害は4月15日に検知されたが、公表は数日後となり、その間に攻撃者がすでに犯罪フォーラムでデータの販売を告知していたことが判明している。
攻撃者は「breach3d」および「ExtaseHunters」と名乗るグループで、約1,800万〜1,900万件(フランス人口のおよそ3分の1に相当)の個人情報を窃取したと主張し、データの売却を進めている。彼らはこれを過去の漏洩データの再利用ではなく「新鮮な構造的侵害(fresh, structural compromise)」と説明し、「フランス政府はデジタル防衛よりも料理に専念した方がよい」と皮肉るコメントも残している。フランス政府は侵害の事実は認めたものの、被害規模の数字については現時点で確認していない。
流出したデータの内容
ANTSが公式に認めた流出データには、ログインID、氏名、メールアドレス、生年月日・出生地、固有のアカウント識別子、郵便住所、電話番号が含まれる。一方、機関が強調しているのは、手続き中に提出された添付ファイルなどの追加書類は含まれていないという点だ。また、流出したデータのみでは不正にポータルへアクセスすることはできないとしている。
政府の対応とフィッシング詐欺への警告
フランス当局は侵害発覚後、複数の措置を速やかに講じた。フランスのデータ保護機関であるCNIL(Commission nationale de l’informatique et des libertés)への報告、パリ検察庁への刑事告発、国家サイバーセキュリティ機関ANSSI(Agence nationale de la sécurité des systèmes d’information)への通知、そして追加セキュリティ対策の実施が行われた。さらに、影響を受けた利用者への個別通知も進められている。
ANTSはまた、流出したデータがフィッシング詐欺に悪用される可能性を警告し、同機関を名乗るSMS、電話、メールに対して注意を払うよう市民に呼びかけている。今回の侵害は、教育省のシステム侵害や銀行口座情報の流出など、近年フランスの公共部門で相次いでいるサイバーセキュリティインシデントの一連として位置付けられており、政府機関のデジタルセキュリティ体制の脆弱性が改めて問われている。