セネガル政府の中枢を担う機関の一つであるファイル自動化総局(DAF)が、壊滅的なサイバー攻撃の標的となり、その業務を一時的に停止せざるを得ない状況に追い込まれた。この事態は、同国が誇るデジタル化された身分証明システムに深刻な亀裂を生じさせ、国民の個人情報保護に対する懸念を増大させている。DAFは、国民の身分証明書、パスポート、その他の生体認証データといった極めて機密性の高い情報を管理する重要な役割を担っており、その機能停止は国家運営に広範な影響を及ぼす。
先週、DAFは国内の1,950万人の住民に対し、サイバー攻撃により業務が一時的に中断されていることを警告する通知を発出した。この発表は、国家の根幹を揺るがす事態として、国内外に大きな衝撃を与えた。当初、ある上級警察官はシステム復旧に努めていると述べ、市民の個人データの「完全性は損なわれていない」と主張したが、その後の情報開示により、この楽観的な見方は根底から覆されることになる。
この事件は、単なるシステム障害にとどまらない。国家のデジタルインフラの脆弱性を露呈し、サイバーセキュリティ対策の喫緊の課題を浮き彫りにした。特に、個人を特定する上で不可欠なIDカードやパスポートに関するデータが危険に晒された可能性は、国民の信頼を大きく損ねるものだ。
DAFが管理するデータは、国民一人ひとりのアイデンティティと密接に結びついており、その漏洩や改ざんは、詐欺、なりすまし、さらには国家安全保障上のリスクに直結する。今回の攻撃は、デジタル化が進む現代社会において、政府機関がいかに高度なサイバー脅威に直面しているかを改めて示す事例となった。
この深刻な事態に対し、セネガル政府は迅速な対応を迫られている。しかし、攻撃の詳細や被害範囲に関する情報が錯綜する中で、国民の不安は募るばかりだ。この事件は、セネガルだけでなく、同様のデジタルIDシステムを導入している他の国々にとっても、重要な警鐘となるだろう。
「グリーンブラッドグループ」の犯行声明と盗まれた139GBの機密データ
セネガル政府がサイバー攻撃の事実を認める数日前、悪名高いランサムウェアグループ「グリーンブラッドグループ」が、今回の侵害に関する犯行声明を発表していた。彼らは、DAFのシステムから139ギガバイト(GB)もの膨大なデータを盗み出したと主張し、その中には市民データベース記録、生体認証データ、移民関連文書といった極めて機密性の高い情報が含まれていると詳細に述べた。このグループは、今年1月に活動を開始したばかりでありながら、DAF以外にも既に4つの組織を標的にしたと公言している。
グリーンブラッドグループは、自らの主張を裏付けるかのように、盗み出したとされるデータの一部サンプルを公開した。さらに、彼らは、セネガルの新しいデジタルIDカード作成を請け負っているマレーシア企業IRIS Corporation Berhadのシニアゼネラルマネージャー、クイック・ソー・チュー氏からの電子メールも証拠として提示した。このメールは、攻撃の深刻さと、政府機関が直面していた危機的状況を明確に示唆するものであった。
盗まれたデータ量「139GB」という数字は、単なる量的な問題に留まらない。市民の個人情報、特に生体認証データやカードのパーソナライゼーションデータが含まれていることは、悪用された場合の被害が計り知れないことを意味する。これらの情報は、なりすまし犯罪や、さらに深刻な国家安全保障上の脅威に利用される可能性を秘めている。
グリーンブラッドグループが公開したチュー氏のメールは、2026年1月20日付のものであり、DAFおよび他の省庁のセネガル当局者に対し、1月19日にDAFのサーバー2台がハッキングされ、そのうち1台からカードのパーソナライゼーションデータが盗まれたことを警告していた。これは、攻撃が政府の公式発表よりもはるかに早く、かつ深刻な形で進行していたことを示唆している。
このランサムウェアグループの手口は、単にデータを暗号化して身代金を要求するだけでなく、盗み出した機密情報を公開することで、被害組織にさらなる圧力をかける「二重の脅迫」戦略を採用している可能性が高い。このような戦術は、近年、政府機関や重要インフラを標的とするサイバー犯罪グループの間で広く見られる傾向であり、被害組織に多大な損害と風評被害をもたらす。
内部告発:マレーシア企業IRISからの緊急警告
セネガル政府の公式発表とは裏腹に、事態の深刻さをいち早く認識し、警告を発していたのは、セネガルの新しいデジタルIDカードシステム構築を担うマレーシア企業IRIS Corporation Berhadであった。同社のシニアゼネラルマネージャーであるクイック・ソー・チュー氏が、2026年1月20日付でセネガル当局に送付した電子メールは、今回のサイバー攻撃の核心を突く内容を含んでいた。
チュー氏のメールによれば、攻撃は2026年1月19日に発生し、DAFのサーバー2台が侵害されたという。さらに憂慮すべきは、そのうちの1台から「カードのパーソナライゼーションデータ」が盗み出されたという具体的な情報であった。この事実は、単なるデータ漏洩に留まらず、国民のIDカード発行プロセスそのものに影響を及ぼす可能性を示唆しており、極めて重大な脅威である。
IRIS社は、この緊急事態を受けて迅速な対応を取ったとチュー氏は報告している。同社は、侵害されたサーバーの一つへのネットワーク接続を遮断し、もう一方のサーバーのパスワードを変更する措置を講じた。さらに、海外の在外公館やその他のオフィスへのネットワーク接続も全て停止し、被害の拡大を防ぐための徹底した対策を実行した。
チュー氏のメールは、IRIS社がマレーシアのサイバーセキュリティ専門家と連携し、さらなる調査と「是正措置」を講じるため、1月22日にはセネガルの首都ダカールへの訪問を計画していることも明らかにしていた。これは、ベンダー側が事態の深刻さを認識し、専門的な知見をもって迅速な対応を試みていたことを示しており、政府の初期対応との対比が際立つ。
この内部告発とも言えるメールは、政府機関が直面するサイバー脅威の複雑さと、それに伴う情報共有の課題を浮き彫りにした。ベンダーからの具体的な警告があったにもかかわらず、セネガル政府の公式見解が当初、データの完全性を主張したことは、危機管理における透明性と連携の重要性を改めて問いかけるものとなっている。
矛盾する情報と深まる混乱:政府とベンダーの間に横たわる溝
今回のサイバー攻撃を巡る情報には、当初から深刻な矛盾が内包されていた。セネガル政府の上級警察官が、市民の個人データの「完全性は損なわれていない」と主張した一方で、ランサムウェアグループ「グリーンブラッドグループ」は139GBものデータ窃取を公言し、さらにベンダーであるIRIS社のクイック・ソー・チュー氏のメールが、具体的なサーバー侵害とカードパーソナライゼーションデータの窃取を詳細に警告していたのだ。この食い違いは、事態の全容把握を困難にし、国民の間に深い不信感を生み出している。
DAF自体は、今回の事件に関してコメントの要請に応じなかった。この沈黙は、政府機関としての説明責任を果たす姿勢に疑問を投げかけるものであり、情報の透明性を求める声が高まっている。地元の報道機関は、2月5日の時点でDAFの業務が少なくとも5日間中断されていると報じており、これは政府が発表した「一時的な停止」が、実際にはより長期にわたる深刻な影響を伴っていることを示唆している。
さらに、2月9日の月曜日の午後時点でも、DAFのウェブサイトは依然としてダウンしたままであった。これは、システムの復旧作業が難航しているか、あるいは被害の範囲が当初の想定よりも広範である可能性を示唆している。デジタルインフラが麻痺した状態が続くことは、行政サービスへのアクセスを阻害し、国民生活に直接的な影響を及ぼす。
この混乱の背景には、セネガル政府とIRIS社の間に長らく続いていた「支払いに関する紛争」が存在するという指摘がある。地元の報道機関が報じたこの情報は、単なる技術的な問題に留まらず、両者間の信頼関係や協力体制に亀裂が生じていた可能性を示唆している。このような状況下では、インシデント対応や復旧作業における連携が円滑に進まない恐れがあり、事態の長期化を招く要因となりかねない。
政府とベンダー間の情報共有の齟齬、そして根深い金銭的対立は、サイバー危機管理における典型的な課題を浮き彫りにしている。このような状況では、攻撃者に対する効果的な防御や、迅速な復旧が困難になるだけでなく、国民の政府に対する信頼も大きく揺らぐことになるだろう。
国家IDシステムへの脅威:過去の事例と今回の教訓
政府機関が管理する国家IDデータベースは、高度な技術を持つハッカー集団にとって常に魅力的な標的であり続けている。過去には、アルゼンチンやエストニアといった国々でも同様のセキュリティインシデントが発生しており、今回のセネガルの事例は、この種の脅威が世界中で普遍的に存在することを示す新たな証拠となった。これらのデータベースには、国民の個人を特定する上で最も重要な情報が集約されており、その侵害は国家レベルでの深刻な影響を及ぼす。
特に、今回のセネガルのケースでは、生体認証データやカードのパーソナライゼーションデータが盗まれた可能性が指摘されている点が極めて重要である。生体認証情報は、一度漏洩すれば変更が不可能であり、悪用された場合の被害は永続的となる。これは、単なるパスワードの漏洩とは比較にならないほど深刻なリスクを伴い、国民のデジタルアイデンティティの根幹を揺るがす事態である。
政府のIDシステムが狙われるのは、そのデータが持つ高い価値と、国家全体に与える影響の大きさにある。ハッカーは、盗み出した情報を闇市場で高値で売却したり、国家支援型攻撃の一環としてスパイ活動や妨害工作に利用したりする可能性がある。セネガルのような新興のデジタルIDシステムは、その導入の初期段階において、セキュリティ対策が十分に成熟していない脆弱性を抱えている場合がある。
今回の事件は、セネガルが新しいデジタルIDカードの導入を進める中で発生した。このような大規模なデジタル化プロジェクトは、利便性の向上をもたらす一方で、新たなサイバーセキュリティリスクを生み出す。特に、プロジェクトのベンダーとの間に支払いに関する紛争があったという事実は、セキュリティ対策の優先順位や投資に影響を与え、結果としてシステムの脆弱性を招いた可能性も否定できない。
この事件は、世界中の政府機関に対し、デジタルIDシステムのセキュリティを最優先事項として捉え、継続的な投資と厳格な監査を行うことの重要性を改めて認識させる教訓となるだろう。また、ベンダーとの契約においても、セキュリティ要件とインシデント対応計画を明確に定めることが不可欠である。
進行中の調査と復旧への道筋
セネガルのファイル自動化総局(DAF)を襲ったサイバー攻撃から数週間が経過した現在も、事態は完全に収束したとは言えない状況にある。2026年2月9日の時点でもDAFのウェブサイトはダウンしたままであり、同局の業務は依然として中断されていることが報じられている。これは、システムの復旧作業が予想以上に困難であるか、あるいは侵害の範囲が広範に及んでいる可能性を示唆している。
システムの復旧には、単にデータを元に戻すだけでなく、攻撃者が残したバックドアや脆弱性を特定し、完全に排除する作業が伴う。特に、国家のIDシステムのような機密性の高いインフラの場合、徹底したフォレンジック調査とセキュリティ強化が不可欠であり、これには相当な時間と専門知識が要求される。IRIS社がマレーシアのサイバーセキュリティ専門家と連携し、ダカールでの調査を計画していたことは、この複雑なプロセスの一端を示している。
しかし、セネガル政府の公式見解と、グリーンブラッドグループおよびIRIS社からの情報との間に存在する矛盾は、復旧プロセスにおける透明性と信頼性を損なう可能性がある。国民の個人データの「完全性は損なわれていない」という初期の主張が、その後の具体的な情報によって疑問視されている状況では、DAFがどのような形でシステムを再稼働させ、国民に情報を提供するかが注目される。
今回の事件は、セネガルのデジタル化戦略、特に国家IDシステムの信頼性に長期的な影を落とすだろう。国民は、自身の最も機密性の高い情報が安全に管理されているかについて、深い懸念を抱くことになり、政府に対する信頼の回復には時間を要する。
最終的に、このサイバー攻撃は、セネガル政府にとって、サイバーセキュリティ対策の抜本的な見直しと、危機管理体制の強化を迫る重大な転換点となる。進行中の調査がどのような結論を導き出すか、そしてDAFがいつ、どのような形で業務を再開できるのか、その動向が引き続き注視される。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Senegal confirms breach of national ID card department after ransomware claims | The Record from Recorded Future News - https://therecord.media/senegal-breach-national-id-agency