1月21日の夜、税務アシスタントサービス「Waltio」がデータ漏洩の被害に遭い、その直後にハッカー集団「Shiny Hunters」によるものとされる恐喝未遂事件が発生しました。初期の情報によると、約5万人のユーザーが影響を受けている可能性があり、フランス当局は調査を開始しました。機密データの集中管理は、サイバー犯罪者にとって格好の標的となる場合、どこまで正当化できるのでしょうか?
Waltioのデータ漏洩に関連する恐喝の背後にいる「Shiny Hunters」
1月21日の夜、税務アシスタント「Waltio」は、データ漏洩の報告を受けたと発表しました。フランス当局はこの件を捜査し、盗まれたデータの性質を特定し、被害者を特定するための調査を進めています。
WaltioのCEOであるピエール・モリゾ氏によるプレスリリースによると、同プラットフォームは悪意のある攻撃者による攻撃を受け、その攻撃者が自身の主張の信憑性を裏付けるためのサンプルを提供したことが明らかになりました。
『ル・パリジャン』紙の報道によると、この攻撃の背後には有名なハッカー集団「Shiny Hunters」が関与しているとのことです。同集団は、約5万人の顧客(ユーザーの3分の1)の個人データを保有していると主張しており、その大部分はフランス本土に所在しています。
攻撃者はWaltio社に接触し、身代金を要求しているようです。このメッセージを受信するやいなや、インシデント対応手順が開始されました。同社は、「最高水準の厳格さをもって状況を分析する」ため、外部の専門家を起用したと説明しています。
実際、パリ検察庁のサイバー犯罪対策部門(J3)は声明の中で、国家憲兵隊の国家サイバー部隊(UNCyber)に捜査を委託したと発表しています。
サイト『Cybermalveillance』に掲載されたパリ検察庁と国家憲兵隊サイバー部隊の共同声明
Waltioによると、捜査の初期段階の分析では、侵入はもはや進行しておらず、プラットフォームのすべてのサービスが正常に機能していることが示されています。
影響を受けたデータについては、同プレスリリースによれば、その範囲は「2024年12月31日時点の2024年度税務報告書の作成」に限定されています。そのため、ユーザーのメールアドレスや、報告書に含まれるデータ(利益、損失、残高)が流出している可能性があります。
Waltioの税務アシスタントは、その性質上、取引プラットフォーム上の口座データを集約して分析し、課税対象となるキャピタルゲインの金額を算出します。
ピエール・モリゾ氏は、ユーザーを安心させるため、「暗号資産へのアクセスを可能にするデータが漏洩した事実は一切ありません」と明言しています。また、同プラットフォームでは、ユーザーの身元に関する情報(氏名、住所、電話番号、生年月日)は一切必要としないことも改めて強調しています。
同社は、情報システム(IS)の履歴を徹底的に調査し、引き続き調査を進めていると説明しています。影響を受ける可能性のあるユーザーには直接連絡を行い、「明確かつ実践的な」推奨事項を併せて通知する予定です。
また、Waltioは、本件についてフランスデータ保護委員会(CNIL)への通報を継続していること、および弁護士のロマン・シリー氏を通じてパリ検察庁第3部(J3)に告訴を行ったことを発表しました。
主なリスク:ソーシャルエンジニアリング攻撃
プレスリリースで述べられている通り、この種の情報漏洩における主なリスクは、技術的な資金の窃取ではありません。攻撃者は、フィッシングや詐欺の試みで被害者を狙うために、状況的な要素を悪用することを好むでしょう。
攻撃者は、あなたをストレス状態に陥らせ、過ちを犯させるために、いくつかの認知バイアスを利用します:
- 迅速な対応を促すこと;
- 金銭的損失の脅威;
- 正当な人物へのなりすまし;
- 悪影響への恐怖;
- 社会的圧力…
暗号資産保有者向けの推奨事項(Cybermalveillanceサイトで公開)
したがって、相手方を明確に特定することが特に重要です。Waltioからのメールの真偽は、送信されるマーケティングメールの下部に記載されているセキュリティコードで確認できます。Waltioは、アカウントに登録されている情報と一致しているか確認することを推奨しています。
また、当社はお客様の電話番号や住所を保有しておりませんので、当社から電話、SMS、または郵便物が届くことはありません。
この事件は、フランス国内の仮想通貨保有者の間で恐怖心をさらに強める一因となっています。最近、誘拐、監禁、脅迫などの事件が絶えずニュースの見出しを飾っています。
機密情報の集中管理は、単一のデータ貯蔵庫を生み出し、重大な脆弱性となります。サイト「bonjourlafuite」が2025年に記録したデータ漏洩事例(一部の公的機関を含む)のリストは特に長く、一部の機関がこうしたデータにアクセスすることの正当性に疑問を投げかけています。
Adanが説明しているように、こうしたデータ収集は多くの場合、規制上の要件に起因しています。新たな脆弱性を生み出さないためにも、これらのデータ処理の実質的な側面を見直す必要があります。
Adanは、2026年初頭以降、フランスにおける投資家や暗号資産業界の関係者を標的とした深刻な暴力事件が増加していることを、強い懸念を持って注視しています。こうした事態に対し、当局は事態の重大さにふさわしい対応を講じる必要があります…
— Adan (@adan_asso) 2026年1月23日
情報システムにどのような保護措置を講じても、常に脆弱性は残ります。したがって、攻撃対象領域を縮小するためには、データの最小化、すなわち「データゼロ、リークゼロ」こそが唯一の解決策であるように思われます。
