概要
フランスの電気通信事業者であるユーロファイバー・フランス(Eurofiber France)は、2025年11月13日に発覚したサイバーセキュリティインシデントにより、顧客データが不正に流出したことを公表しました。同社は、チケット管理プラットフォームおよび顧客ポータルにおけるソフトウェアの脆弱性が悪用されたと報告しています。
インシデントの詳細
このインシデントは、ユーロファイバー・フランスとその関連地域ブランド(Eurafibre、FullSave、Netiwan、Avelia)が使用するチケット管理プラットフォーム、およびユーロファイバー・クラウド・インフラ・フランス(Eurofiber Cloud Infra France)向けのATE顧客ポータルに影響を及ぼしました。未知の悪意ある攻撃者がこれらのプラットフォームの脆弱性を悪用し、不正アクセスを通じて機密性の高いユーザーデータを持ち出したとされています。
影響と被害範囲
今回のデータ漏洩は、ユーロファイバー・フランスの事業に限定されており、ベルギー、ドイツ、オランダの他のユーロファイバー事業体には及んでいません。同社によると、銀行口座情報などの機密性の高い財務情報や、別のシステムに保存されていた重要なデータは侵害されなかったとのことです。また、すべての顧客サービスはインシデント中も完全に運用されており、サービスの中断は発生しませんでした。フランス国内の間接販売パートナーおよび卸売パートナーへの影響も最小限に抑えられていると報告されています。
ユーロファイバーの対応
ユーロファイバー・フランスは、インシデント発覚後、迅速に対応しました。検知から数時間以内に、影響を受けたチケット管理プラットフォームとATEポータルに強化されたセキュリティ対策を導入し、悪用された脆弱性を修正しました。さらなる不正アクセスを防ぎ、システム全体のセキュリティを強化するための追加保護措置も展開されています。同社は関連当局に恐喝の訴えを提出しており、データ流出に伴う身代金要求があった可能性を示唆しています。さらに、GDPRの規定に基づき、フランスのデータ保護当局であるCNIL(Commission Nationale de l’Informatique et des Libertés)に報告し、フランス国家サイバーセキュリティ庁(ANSSI)にも通知しました。顧客への通知はインシデント発覚後直ちに行われ、調査の進展に合わせて透明性のあるコミュニケーションを継続するとしています。
業界への示唆
今回の事案は、サービスプロバイダー、特に重要なインフラと顧客情報を管理する企業にとって、ウェブに面したアプリケーションや顧客ポータルの脆弱性がもたらす継続的な脅威を浮き彫りにしています。ユーロファイバー・フランスは、データ保護、サイバーセキュリティ、および顧客と規制当局への透明性へのコミットメントを改めて表明し、完全な解決が達成されるまでインシデント対応に全力を尽くすとしています。