フランス政府のデジタル行政局(DINUM)は2026年6月、政府職員向け暗号化メッセージングプラットフォーム「Tchap」が侵害を受け、825,000人以上の登録ユーザーのうち約9%にあたる73,467人のアカウント情報が流出したと発表した。

Tchapとは——フランス政府の「公式Slack代替」

Tchapは、DINUMとフランスのサイバーセキュリティ機関ANSSI(国家情報システムセキュリティ局)が2018年に共同開発した、公務員向けの分散型インスタントメッセージングプラットフォームだ。Matrixプロトコルをベースに構築されており、2025年8月には全公務員の業務コミュニケーション標準ツールに指定された。Google PlayストアではすでにDL数が50万を超えており、月間アクティブユーザーは30万人を超えていた。

国産のセキュアメッセンジャーを政府主導で構築・運用するというアプローチは、デジタル主権の観点から注目されていただけに、今回の侵害は大きなダメージだ。

何が盗まれたか

攻撃者はソーシャルエンジニアリングによって侵害済みユーザーアカウントを入手し、そこを足がかりにプラットフォームへアクセスしたと主張している。DINUMによると、盗まれたとされるデータには以下が含まれる:

  • 約650,000件のメッセージ
  • 73,000件超のアカウント情報(氏名・メールアドレス・所属組織・アバター画像)
  • ミーティングリンクおよびデバイスメタデータ
  • PowerShellスクリプトにハードコードされたLDAP認証情報
  • 13.5GB超のドキュメントおよびメディアファイル

致命的だった設計上の盲点

DINUMの説明によれば、プライベートな会話はエンドツーエンド暗号化されており内容は保護されていた。問題は公開チャットルームだ。

設計上、公開チャットルームのメッセージは暗号化されていない。このため攻撃者は、公開チャットルームで共有されたすべてのデータ——氏名、メールアドレス、所属組織——にアクセスできてしまった。

「暗号化メッセージングアプリ」というブランドイメージと、「公開チャットは暗号化されていない」という現実のギャップ。技術的には仕様通りかもしれないが、ユーザーの認識と実態の乖離が被害を広げた。

さらに見逃せないのが、PowerShellスクリプトへのLDAP認証情報ハードコードだ。シークレット管理という基本的な対策が徹底されていなかったことが、被害拡大の一因となった可能性がある。

日本のIT現場への影響

1. 「暗号化」の適用範囲を精査する

Slack、Teams、その他のコラボレーションツールにおいて、E2EE(エンドツーエンド暗号化)が適用されるのはどのメッセージか?パブリックチャンネル、ゲスト参加者との会話、ファイル共有はどうか?ツール選定・評価時に暗号化スコープを必ず確認する習慣を持とう。

2. コード・スクリプト内の認証情報を一掃する

Azure Key VaultやAWS Secrets Managerなどのシークレット管理サービスを活用し、PowerShellスクリプトや設定ファイルへの認証情報ハードコードを根絶する。GitHubではgit-secretsやGitHub Secret Scanningを有効化し、コミット段階で検出する体制を整えたい。

3. 単一アカウント侵害の影響範囲を設計段階で制限する

今回は1つの侵害済みアカウントがプラットフォーム全体への入口となった。最小権限の原則とJust-In-Time(JIT)アクセスにより、単一アカウントの侵害が横展開しないアーキテクチャを設計することが重要だ。

4. 業務チャットツールもゼロトラストの対象として評価する

「社内ツールだから安全」という前提はゼロトラストの考え方とは相容れない。メッセージング基盤も他のSaaSと同様にリスク評価とアクセス制御の対象として扱い、異常なアクセスパターンを検知する仕組みを持つ。

筆者の見解

今回の件でまず気になるのは、PowerShellスクリプトにLDAP認証情報がハードコードされていたという点だ。2018年開発のツールとはいえ、政府とサイバーセキュリティ機関が共同で作ったプラットフォームで、NHI(Non-Human Identity)管理の基本が守られていなかったのはもったいない。組織的なセキュリティ成熟度の底上げなしに、いくら上位レイヤーで暗号化を施しても、足元を突かれることになる。

「公開チャットは暗号化しない」という設計判断そのものを責めるつもりはない。Matrixプロトコルの仕様上、合理的なトレードオフはある。ただ、「暗号化メッセンジャー」を全公務員の標準ツールに指定するなら、その制約をユーザーが正確に理解できるような周知が必要だったはずだ。

「今動いているから大丈夫」は通用しない——この原則は今回も証明された。73,000人という数字が、その代償を静かに示している。日本の政府・自治体も同種のツール評価を行っているはずで、この事例は他人事ではない。

出典: この記事は Over 73,000 French govt employees affected in Tchap messenger breach の内容をもとに、筆者の見解を加えて独自に執筆したものです。