欧州旅行者に人気の鉄道パスサービス「Eurail」が、2025年12月末に発生した不正アクセスの詳細を明らかにした。被害を受けた個人は308,777人に上り、氏名・パスポート番号・銀行口座IBAN・健康情報・連絡先など、本来なら最も厳重に保護すべき情報が根こそぎ持ち出されたことが確認されている。

何が起きたのか

2025年12月26日、攻撃者がEurailのネットワークに侵入し、ファイルを外部に転送した。Eurailが侵害の事実を公表したのは2026年2月、そして影響を受けた個人への通知が行われたのは3月27日のことだ。発覚から通知まで約3か月を要したことになる。

窃取されたとされる情報の内訳は以下のとおりだ。

  • 氏名・パスポート番号
  • 銀行口座のIBAN(国際銀行口座番号)
  • 健康情報
  • メールアドレス・電話番号

Eurailは「財務情報やパスポートの写真コピーは侵害されたシステムには保存していなかった」と説明しているが、欧州委員会(European Commission)は別途アラートを発出。EU の「DiscoverEU」プログラム経由でパスを取得した若い旅行者については、健康情報を含む一段広い情報が露出した可能性があると警告している。

窃取されたデータはTelegramで一部サンプルが公開され、ダークウェブ上での売買も試みられていることが確認された。

被害の深刻さはどこにあるか

この件で特に問題なのは、「組み合わせの凶悪さ」だ。氏名単体、あるいはメールアドレス単体が漏れた程度であれば、スパムへの警戒程度で済む。だが、氏名+パスポート番号+IBANが一組で揃ってしまうと話が変わる。

IBANはEU圏の銀行送金で使う口座識別子であり、不正なダイレクトデビット(口座引落)の試みに悪用されうる。パスポート番号と組み合わせれば、本人確認を伴う詐欺や、フィッシング攻撃の精度向上に使われる可能性が高い。健康情報が加われば、医療保険詐欺への応用も現実的な脅威となる。

実務への影響——エンジニア・IT管理者が取るべき行動

この事案は欧州の事業者が関係しているが、日本のIT現場にも直接的な示唆がある。

ユーザー向け(該当者)

  • Rail Plannerアプリのパスワードを直ちに変更し、同じパスワードを使い回しているサービスでも同様に対処する
  • 銀行口座の明細を定期的に確認し、身に覚えのない引落がないかモニタリングする
  • 件名に「Eurail」「DiscoverEU」「鉄道パス」などを含むメールは、リンクをクリックする前に発信元を厳密に確認する

システム設計・運用側の視点

  • 「旅行者の健康情報や旅券情報を同一DBに平文で格納していた」という構造自体が今回の被害を拡大させた。センシティビティに応じたデータ分離と暗号化は、設計段階での必須要件だ
  • DiscoverEUのような政府連携プログラムに個人情報を提供している場合、そのデータが第三者事業者のシステムにどのような形で保管されるかを契約・設計レベルで確認しておく必要がある
  • 侵害検知から被影響者通知まで3か月を要したことは、インシデントレスポンス計画の成熟度を問う事例として参照する価値がある。日本企業でも「発覚したけど何をどの順番でやればいいかわからない」という状態のまま時間が経過するケースは少なくない

筆者の見解

セキュリティの話は細かい議論になりがちで、どちらかというと専門家同士の言い合いになってしまうことも多い。だが、今回のような事案は「技術論」に入る前に、「なぜ不要なデータを持ち続けていたのか」という根本的な問いに立ち戻る必要がある。

IBANや健康情報は、鉄道パスを販売するサービスとして本当に長期保管が必要なデータだったのだろうか。購入処理が完了した後も持ち続ける合理的な理由がなければ、そもそも保持しないというのが最善の防御だ。「攻撃者が盗めないデータは存在しないデータだけ」という原則は、ゼロトラストの文脈でも繰り返し語られてきた基本中の基本である。

日本のエンタープライズでも、気がつけば「いつか使うかもしれない」という理由で個人情報や認証情報がシステムのあちこちに散在しているケースは珍しくない。今回のEurailの事案を、自社のデータ棚卸しを見直す契機として活用することを強くお勧めしたい。

攻撃者が最初のアクセスを得た後、実際にファイルを転送するまでの間に何らかの制御が機能していれば被害は異なっていた可能性がある。ネットワーク層・認証層・認可層を複数重ねた多層防御と、異常なデータ転送を即座に検知するモニタリングの組み合わせ——地味ではあるが、それが「今動いているから大丈夫」という油断に対する唯一の現実的な答えだと思っている。

出典: この記事は Eurail says December data breach impacts 300,000 individuals の内容をもとに、筆者の見解を加えて独自に執筆したものです。