フランスの主要インターネットサービスプロバイダー(ISP)であるFree社は、サイバー攻撃によって顧客の個人情報が流出したことを確認しました。Free社は、**イリアードグループ(Iliad Group)**の子会社であり、2024年6月時点で2290万人の契約者を有し、フランスで2番目に大きい通信会社です。
インシデントの詳細と対応
- 攻撃対象:攻撃者は、Free社の管理ツールを通じて顧客データにアクセスしましたが、顧客のパスワード、クレジットカード情報、および**通信内容(メールやSMSなど)**へのアクセスはなかったとされています。
- 被害規模:約1920万人の顧客データが流出したとされ、その中には511万件のIBAN番号も含まれていました。
- 影響の範囲:Free MobileおよびFreeboxサービスの全顧客が影響を受けたと報告されています。
対応と顧客への案内
Free社は、直ちに影響を受けた顧客へメールで通知し、セキュリティ強化のための措置を講じたと説明しています。また、**CNIL(フランス情報技術・自由委員会)およびANSSI(フランス国家情報システムセキュリティ庁)**にこの事件を報告し、被害者の保護を進めています【6】【7】。
IBAN番号の不正利用に関する注意喚起として、顧客にフィッシング攻撃に注意するよう促し、不正な引き落としが発生した場合には13ヶ月以内の銀行への報告で返金が保証されることを案内しています。
サイバー攻撃の影響と脅威
攻撃者は、取得したデータをハッカーフォーラムBreachForums上で公開し、「drussellx」と名乗る人物が最高入札者に販売を持ちかけています。攻撃者は、取得データがフランス人口の約3分の1に影響を与えると主張しています。また、攻撃の正当性を示すために、一部のデータやデータベースのスクリーンショットも公開されました【8】。
結論
この事件は、Free社の顧客だけでなく、フランス全体のセキュリティ意識を高めるきっかけとなるでしょう。企業がサイバー攻撃に迅速に対応することは重要であり、今回のような大規模データ流出が再び起こらないためには、さらなるセキュリティ強化が不可欠です。
