仏政府のメッセージングサービス「Tchap」がアカウント乗っ取り攻撃で侵害される

仏政府のメッセージングサービス「Tchap」がアカウント乗っ取り攻撃で侵害される

BleepingComputer – June 9, 2026

フランスのデジタル省庁間総局（DINUM）は8日、仏政府の暗号化メッセージングプラットフォーム「Tchap」がハッキングされたことを明らかにした。

Tchapは2018年にDINUMと国家情報システムセキュリティ庁（ANSSI）が共同開発したインスタントメッセージングサービス兼コラボレーションツールで、分散型プロトコル「Matrix」をベースとし、フランスの公共部門専用に設計されている。2025年8月初旬には全公務員に使用が義務付けられ、月間アクティブユーザー数が30万人以上、Google Playストアでのダウンロード数も50万回を突破していた。

DINUMの発表によると、ANSSIが侵害を検知したのは7日とされ、攻撃者は侵害されたユーザーアカウントを利用してTchapに侵入。同プラットフォームでアクセス可能だったとされる会話のうち、一部ユーザーの共有した個人データが漏洩した恐れがあるという。

なお、当該アカウントは直ちにブロックされており、不正なリクエストを発信したアカウントもすでに特定されているとのこと。攻撃者がアクセスできた会話と流出したデータを突き止めるため、イベントログの精査を含む調査は今も続いているようだ。

DINUMは攻撃者が何者かに触れていないものの、ある脅威アクターが先週末に犯行声明を出しており、盗まれたファイルのサンプルを公開したほか、ソーシャルエンジニアリング攻撃によってTchapへのアクセス権を得たと主張。約65万件のメッセージと7万3,000件以上のアカウントに関する情報（メールアドレス、組織情報、会議リンク、アカウントおよびデバイスのメタデータなど）をスクレイピングしたとも述べている。

Veeamの新たな脆弱性でバックアップサーバーがRCE攻撃の標的に（CVE-2026-44963）

BleepingComputer – June 9, 2026

Veeamがセキュリティアップデートをリリースし、認証済みのドメインユーザーによるバックアップサーバー上でのリモートコード実行（RCE）を可能にする重大なセキュリティ脆弱性を修正した。

この脆弱性はCVE-2026-44963として追跡されており、Veeam Backup & Replication（VBR）12.3.2.4465およびそれ以前のバージョン12ビルドすべてに影響を与える。権限の低いドメインユーザーであれば誰でも悪用可能とされるが、影響を受けるのはドメインに参加しているVBRのインストール環境のみのようだ。Bleeping Computerが報じた時点で攻撃事例の報告はないものの、パッチのリリース直後にエクスプロイトの開発が始まることが多いため、Veeamは早急なアップデートを呼びかけている。

Veeam製品は世界中で55万以上の顧客に利用されており、フォーチュン500企業の82％、グローバル2000企業の74％で導入済み。また、同社のバックアップサーバーは頻繁にランサムウェアグループの標的にされ、近年にはVBRの脆弱性4件が攻撃に悪用されている。

例えば2024年11月には、Akira、Fog、FragといったランサムウェアグループがVBRの重大なRCE脆弱性（CVE-2024-40711）を悪用。金銭目的の脅威グループFIN7（Maze、Egregor、Conti、REvil、BlackBastaの各ランサムウェアグループと度々連携）とCubaランサムウェアグループも、VBRの脆弱性を狙った攻撃に関与しているとされる。