1月21日の夜、税務アシスタントのWaltioがデータ漏洩の被害に遭い、その直後にハッカー集団「Shiny Hunters」による恐喝未遂が発生しました。初期情報によると、約5万人のユーザーが影響を受けた可能性があり、フランス当局は調査を開始しています。サイバー犯罪者にとって有利な手段となる場合、機密データの集中管理はどの程度まで正当化されるのでしょうか?
Waltioのデータ漏洩に関連する恐喝の背後にいる「Shiny Hunters」
1月21日の夜、税務アシスタントのWaltioは、データ漏洩の報告を受けたと発表しました。フランス当局は、盗まれたデータの性質と被害者を特定するための調査を開始しました。
WaltioのCEO、ピエール・モリゾ氏によるプレスリリースによると、同プラットフォームは悪意のある人物による攻撃を受け、その人物は自身の犯行の信憑性を確認するためのサンプルを提供したという。
ル・パリジャン紙によると、この攻撃の背後にいるのは有名なハッカー集団「Shiny Hunters」である。同集団は、約5万人の顧客(ユーザーの3分の1)の個人データを所持しており、その大部分はフランス本土の顧客であるとしている。
攻撃者は Waltio 社に連絡を取り、身代金を要求しているようです。このメッセージを受け取った直後から、インシデント対応手順が開始されました。同社は、「最高水準の要求で状況を分析する」ために外部の専門家を起用したと説明しています。
実際、パリ検察庁のサイバー犯罪対策部門(J3)は、声明の中で、この調査を国家憲兵隊の国家サイバーユニット(UNCyber)に委託したことを発表している。
Waltio氏によると、調査の初期段階では、侵入はもはや活発ではなく、プラットフォームのすべてのサービスが正常に機能していることが示されている。
影響を受けたデータについては、その範囲は「2024年12月31日時点で確定した2024年税務報告書」に限定されていると、同プレスリリースは述べている。これにより、ユーザーのメールアドレスと報告書からのデータ(利益、損失、残高)が確認できる。
Waltioの税務アシスタントは、その性質上、取引プラットフォーム上のアカウントデータを収集して分析し、課税対象となるキャピタルゲインの金額を計算します。
ピエール・モリゾ氏は、ユーザーを安心させるために、「暗号資産にアクセスするためのデータは一切漏洩していない」と明言しています。また、同プラットフォームは、お客様の身元に関する情報(氏名、住所、電話番号、生年月日)を一切要求していないことも改めて強調しています。
同社は、情報システム(IS)の履歴を完全に調査し、調査を継続すると説明しています。影響を受ける可能性のあるユーザーには、「明確かつ実用的な」推奨事項とともに、直接連絡が送られる予定です。
さらに、Waltio は、CNIL(フランス情報処理自由委員会)へのインシデントの通知を継続し、弁護士のロマン・チリー氏を通じて、パリ地方検察庁 J3 部門に告訴を行ったことを発表しています。
主なリスク:ソーシャルエンジニアリングによる攻撃
プレスリリースで述べられているように、この種の情報漏えいの主なリスクは、技術的な資金の盗難ではありません。攻撃者は、フィッシングや詐欺の試みで被害者を狙うために、状況的な要素を利用することを好みます。
攻撃者は、あなたをストレスの多い状況に陥らせ、ミスを犯させるために、いくつかの認知バイアスを利用します。
- 迅速な対応を促す
- 金銭的損失の脅威
- 正当な人物のなりすまし
- 悪影響への恐怖
- 社会的圧力…
そのため、相手方を明確に特定することが特に重要です。Waltio のメールは、送信されるマーケティングメールの下部に記載されたセキュリティコードで真正性を確認できます。Waltio は、お客様のアカウントに登録されている情報と照合することをお勧めします。
また、同社はお客様の電話番号や住所を保有していないため、同社からの電話、SMS、郵便物は一切届かないことをご留意ください。
この事件は、フランス国内の仮想通貨保有者の間での不安感をさらに強める一因となっています。最近、誘拐、監禁、脅迫などの事件がニュースの見出しを賑わしています。
機密情報の集中管理は、単一のデータリポジトリを作り出し、大きな脆弱性となっています。bonjourlafuite サイトによって2025年に記録された、特に長いデータ漏洩のリスト(多くの公的機関を含む)は、特定のサービスがこの種のデータにアクセスすることの正当性に疑問を投げかけている。
Adan が説明しているように、この収集は多くの場合、規制上の要件に起因しています。新たな脆弱性を生み出さないよう、こうしたデータの処理の重要な側面を見直す必要があります。
Adan は、2026 年の初めから、フランスの暗号資産業界の関係者や投資家に対する深刻な暴力行為が増加していることを大きな懸念事項として観察しています。こうした事態には、公的機関による相応の対応が求められます…
— Adan (@adan_asso) 2026年1月23日
情報システムにどのような保護策を施しても、その脆弱性は常に存在します。したがって、攻撃対象領域を縮小する唯一の解決策は、データを最小限に抑えること、つまりゼロデータ、ゼロリークを実現することであると思われます。
