ハンガリー省庁職員のパスワードがネット上に漏洩：「Snoopy」や「Password」など単純なものも

ハンガリー省庁職員のパスワードがネット上に漏洩：「Snoopy」や「Password」など単純なものも

Bellingcat – April 9, 2026

ハンガリー政府関連のEメールアドレスおよびそれらに紐付くパスワードおよそ800組がネット上に流出しているのを、非営利の調査報道機関Bellingcat（べリングキャット）が発見。これらの漏洩情報からは、機微性の高い業務に従事する省庁のセキュリティプロトコルにおける基本的な不備が明らかになっているという。

Bellingcatは、漏洩データベースにハンガリー政府の13省庁が使用するドメイン（例：ハンガリー内務省の「bm.gov.hu」など）がないかを検索。調査には、クリアウェブおよびダークウェブ上に出回る漏洩データのリポジトリを検索可能な有償サービス「Darkside」が使われた。

検索の結果、Bellingcatは合計795組（重複なし）のEメールおよびパスワードのセットを発見。13省庁のうち12省庁でこうしたデータが漏洩していたものの、大部分にあたる641組が、主要な4省庁（内務省、国防省、外務貿易省、国家経済省）のものだったとされる。なお、Bellingcatはメディア報道やLinkedInなどのオンラインプロフィールに記載された職員名と付き合わせることで、漏洩アカウントの真正性を確認済みだとしている。

Bellingcatによれば、これらの漏洩データは、ハンガリー政府のシステムへの高度な技術を用いた侵入が行われた証拠というわけではないという。同機関の分析によれば、むしろこれらの情報漏洩は、デジタルセキュリティ対策の不備に起因する可能性が高いとされる。現に、多くのケースにおいて、同国省庁の職員は政府発行のメールアドレスと、自身の苗字やペットの名前、有名人の名前といった単純なパスワードを組み合わせて、出会い系サイトや音楽、スポーツ、飲食関連のWebサイトへの登録など、業務とは無関係と思われる用途に使用していたという。

Bellingcatは、特に漏洩件数の多かった4省庁（内務省、国防省、外務貿易省、国家経済省）について、漏洩パスワードの例を幾つか紹介している。

【内務省】

• 漏洩していたEメール・パスワードのセット：170組
• 漏洩したパスワードの例：「Arsenal」、「Paprika」、「adolf」
• 漏洩の影響を受ける職員の例：下級職員および高官など

【国防省】

• 漏洩していたEメール・パスワードのセット：120組（2023年のNATOのeラーニングサービスの侵害で漏洩したものや、スティーラー感染で漏洩したとみられるものを含む）
• 漏洩したパスワードの例：「FrankLampard（英国のサッカー選手名）」、「123456aA」、「かわいい」という意味を持つハンガリー語の単語
• 漏洩の影響を受ける職員の例：下級兵士、准将、「情報セキュリティ」を専門とする大佐、地区局長など

【外務貿易省】

• 漏洩していたEメール・パスワードのセット：107組
• 漏洩したパスワードの例：「職員自身の名前＋数字2桁」、「porsche911」、「Batman2013」、「embassy13hungary」
• 漏洩の影響を受ける職員の例：ヨーロッパ、南北アメリカ、中東に駐在する公使、領事、外交官、広報担当者（テロ対策調整官、EU広報官、およびハンガリーに対するハイブリッド脅威を特定する役割を担っていた人物も含む）など

【国家経済省】

• 漏洩していたEメール・パスワードのセット：244組（2025年に同省に統合された金融省の漏洩分も含む）
• 漏洩したパスワードの例：「snoopy」、自身の誕生日、「Jelszo（「パスワード」を意味するハンガリー語）」、「Kurvaanyad1（「お前の母親は淫売女だ」という意味のハンガリー語）」
• 漏洩の影響を受ける職員の例：上級顧問

この他にも、「1234567」や「linkedinlinkedin」など、簡単に推測できるようなパスワードがいくつか見つかっている。また、Eメールとパスワードと併せて、電話番号や住所、生年月日、ユーザー名、IPアドレスなどが漏洩していたケースもあったという。

今回の漏洩は、右派ポピュリスト政党フィデスを率いるオルバーン・ヴィクトル首相の再選がかかった総選挙を目前にして暴かれているが、同国政府のITセキュリティにおける欠陥が公になるのは今回が初めてではない。2022年の選挙前にも、ロシアの諜報機関によってハンガリー外務省のコンピューターネットワークが不正アクセスを受けたとの報道があり、同省はこれを否定。しかし2024年、別のニュースメディアにより、ロシアの攻撃に関連する外務省の書簡に、4,000件のワークステーションと930件のサーバーが「信頼できない」状態になったと記されていたことが明らかになっていた。

ハンガリーの独立系ニュースサイトの元編集長で政治アナリストのSzabolcs Dull氏は、今回Bellingcatにより発見された複数の漏洩データをめぐり、「政府機関がデータセキュリティを真剣に捉えていないことは明らか」であると指摘。同氏は、2022年にロシアのハッキングが発生した後も何の調査も行われていないようだとの認識を伝えている。

また、ハンガリーのサイバーセキュリティ専門家であるKata Kincső Bárdos氏は、機微なデータを扱う政府機関において、なぜより厳格な管理措置が一貫して実施されないのか理解に苦しむとコメント。政府機関においては長くユニークなパスワードを使うことやMFA（多要素認証）を設定することなど、基本的なパスワードのルールを適用するだけでなく、漏洩認証情報や不審なアクセスパターンを継続的にモニタリングすることも必要なはずだと指摘した。

Bellingcatはハンガリー政府の広報官や首相官邸に問い合わせを行ったが、返答は得られていないとのこと。