フランスで、全国の銀行口座情報を集約する国家口座台帳FICOBA(Fichier des comptes bancaires)に対する不正アクセスが発覚し、約120万口座に紐づく情報が閲覧されたと当局が公表しました。攻撃は、ソフトウェアの脆弱性を突いたものではなく、権限を持つ公務員の認証情報が悪用されたことが原因とされています。
概要
フランス経済・財務省系の発表によれば、2026年1月末ごろから、省庁間の情報共有の枠組みでFICOBAにアクセスできる職員のID・パスワードが悪用され、データベースの一部が不正に閲覧されました。閲覧された可能性があるのは約120万口座分で、当局は検知後にアクセス制限を実施し、影響の封じ込めを図ったとしています。
どんな情報が漏えいした可能性があるか
報道・当局説明を総合すると、閲覧・露出した可能性があるのは次の情報です。
-
RIB/IBAN(銀行口座識別情報)
-
口座名義人の氏名
-
住所
-
一部で納税者番号(税ID)
FICOBAは口座残高や取引履歴を保持するものではなく、口座の存在と名義人を特定するための台帳です。したがって、今回のアクセスだけで直ちに残高照会や送金ができるわけではない、という点は当局・関係機関が繰り返し説明しています。
想定される悪用シナリオ
残高や取引履歴がないとしても、IBANと個人情報(氏名・住所など)の組み合わせは詐欺の材料になります。銀行界は、主に次のような悪用を警戒するよう呼びかけています。
-
口座振替(ダイレクトデビット)詐欺:正規の債権者を装い、偽の振替依頼を通す(条件として、決済サービス事業者側の登録や、口座振替同意(mandate)の偽造などが必要)
-
なりすまし・ソーシャルエンジニアリング:銀行・役所・債権者を装い、追加情報や認証情報を引き出す(IBANと住所があると説得力が増す)
-
サブスクリプション等の不正申込み:IBANを悪用してサービス料金を被害者口座から引き落とす形を狙う可能性
フランス国立銀行(Banque de France)も、今回の漏えい情報だけでは残高参照や取引実行はできないとしつつ、詐欺・不正請求への警戒を呼びかけています。
当局・関係機関の対応
-
監督当局(CNIL)への通知、刑事告訴(被害届)を実施
-
影響を受けた可能性のある人へ順次連絡、銀行にも注意喚起
-
侵害検知後にアクセス制限を導入し、追加の不正アクセス防止を図った
-
Banque de Franceが一般向けに「警戒と基本行動」を提示
関連記事
フランスの国営郵便局、大規模なシステム障害でオンラインサービスが一時利用不可-銀行取引は一部継続
フランス 国営郵便局へのサイバー攻撃、親ロシア派ハッカーが犯行声明
米、大手VC Insight Partners(インサイト・パートナーズ)へ不正アクセス-ソーシャルエンジニアリングの実例
インテンスが運営するショップサイト「fofo」へ不正アクセス 約1.5万人の個人情報漏洩
Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性
東原商店が運営する「オリーブ牛の肉のヒガシハラ」へ不正アクセス 約2.7万人の個人情報漏えい
宇野港土地運営の「たまの湯LINE会員システム」「WEB予約システム」へ不正アクセス 約1万人の個人情報漏洩の可能性
444株式会社運営サービス「TechFUL」へ不正アクセス、約4.6万件個人情報漏洩
ECサイト「IKETEI ONLINE」へ不正アクセス、個人情報 9万件とカード情報3万件超が漏洩の可能性
