2026-04-24 の一覧へ戻るホーム
フランス政府機関がデータ流出を認める、ハッカー側からそのデータを販売する申し出がなされた。

2026/04/24 0:59

フランス政府機関がデータ流出を認める、ハッカー側からそのデータを販売する申し出がなされた。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

フランスのTitres機関は、その政府ポータルに影響が及び、最大 1,900 万人もの市民の記録が露見する可能性のある重大なデータ侵害を認めた。4 月 16 日に「breach3d」という名前の脅威アクターは、自らが最大 1,900 万人の利用者の機密情報(フルネーム、連絡先情報、住所、性別・婚姻状況)を所持していると主張したが、これらを広く販売するためには至っていない。セキュリティインシデントは 2026 年 4 月 15 日の水曜日に見つかり、現在もフランスのサイバーセキュリティ庁(ANSSI)、データ保護機関(CNIL)、パリ地区検察官を含む捜査が続いている。ANTS は、露見した情報が電子ポータルへの不正アクセスを可能にするものではないが、フィッシングや社会的工学会攻撃を促進する可能性があることを確認した。具体的な件数は完全に確認されていないものの、露見した可能性のあるデータにはログイン ID、フルネーム、メールアドレス、生年月日、一意なアカウント識別子、および一部のユーザーの郵便住所や電話番号などの選択的な詳細が含まれる可能性がある。市民は、当該機関を装った疑わしい SMS、通話、メールに対して非常に警戒するよう求められており、現時点では直ちに講じるべき是正措置はない。BleepingComputer は脅威アクターの主張についてANTSに問い合わせたが、記事掲載時点では回答を受けていない。捜査が続く中、市民は自らがこの露見した個人情報を将来の悪用から守るためにセキュリティ意識を高める必要がある。

本文

フランスの行政文書の発行・管理を担当する政府機関である France Titres、通称「安全な公文書国家機構(ANTS)」が、ハッカー集団による攻撃で市民データが漏洩したとの主張を受け、この事実を公表しました。ANTS は国内務省の下に置かれており、フランスにおける公的身分証明書や登録書類の管理権限を持っています。対象には運転免許証、国民 ID カード、パスポート、入国管理関連の書類が含まれます。

昨日同機関が発表によると、攻撃は先週発生したとされ、現在も調査が続いていますが、特定されない人数分の個人データが外部に持ち出された可能性があります。

ANTS の公式声明には、「2026 年 4 月 15 日(水)、国家安全公文書局(ANTS)は ants.gouv.fr ポータルにおける個人および事業者アカウントに関連する情報の開示を伴う可能性のあるセキュリティインシデントを検知しました」とあります。

想定される漏洩データの種類は以下の通りです:

  • ログイン ID
  • 氏名
  • メールアドレス
  • 生年月日
  • アカウント固有識別子
  • 住所(一部)
  • 出生地(一部)
  • 電話番号(一部)

ANTS は、影響をうけた者へのお知らせ手続きを進めていると発表しています。また、漏洩された情報だけで同機関の電子ポータルへの不正アクセスはできないものの、当該データが悪意ある第三者によるフィッシングや社会的工学会攻撃に利用される恐れがあるとしつつ、ユーザーから特定の行動を求めない一方、「ANTS と見受けられる不審または異常な連絡(SMS、電話、メールなど)には特に注意してください」と警鐘を鳴らしています。

同機関は、データ保護監督機関(CNIL)、パリ地方検察庁に加え、国家サイバーセキュリティ局(ANSSI)にも対応を要請しました。さらに、漏洩データの売買や拡散行為は違法である旨を明確に警告しています。

1,900 万件のレコードが窃盗されたとの主張

4 月 16 日、ハッカーフォーラム上で「breach3d」という肩書きを持つ攻撃者が、最多で 1,900 万件分のデータ保有を主張する投稿を行いました。同者によれば、窃获されたデータには氏名、連絡先情報、生年月日情報、自宅住所、アカウントメタデータ、および性別・婚姻状態が含まれているとしています。

当該データは未公表の金額で販売対象となっており、現時点では大規模な漏洩はまだ起きていません。ANTS は利用者に対し追加措置を不要とする一方で、「SMS、音声通話、メールなど同機関と見受けられる不審または異常な連絡には『最大限の注意』を持って対処するよう」推奨しています。

BleepingComputer は ANTS に攻撃者側の主張について確認しましたが、発表時点で未だ回答は得られていません。

同じ日のほかのニュース

一覧に戻る →

2026/04/24 3:01

文書の見直しのお手伝いをいたしますが、ご提示いただいた「GPT-5.5」という入力は、翻訳や編集の対象となる文章を含んでおりません。 ルールに従って文書の体裁を整える対象となりますよう、該当する原文をご提供ください。 また、「GPT-5.5」という名称は、現時点で公開されている正式版のモデル名とは一致しておりません(現在最新シリーズは GPT-4o や GPT-4 Turbo などです)。 特定のテキストを処理させていただく場合は、その内容をお貼り付けください。

## Japanese Translation: OpenAI は、エージェント型コーディング、高度なコンピューター操作、知識作業、科学研究を特に目的に設計された、至今に至るまで最も知的で直感的なモデルである GPT‑5.5 を発表します。このモデルは GPT‑5.4 と同等のトークンあたり遅延を実現し、Codex タスクにおいて著しくトークン使用量を削減することで、NVIDIA GB200 および GB300 NVL72 システム上で Codex が負荷分散のヒューリスティクスを最適化するのを支援しながら、生成速度を 20% 以上向上させています。複雑なコマンドラインワークフローに関する Terminal-Bench 2.0 で 82.7% の精度、実世界の GitHub アイシュー解決における SWE-Bench Pro で 58.6% の精度を実現し、最先端のパフォーマンスを提供します。Codex においては、実装からリファクタリング、デバッグに至るまでのエンドツーエンドのエンジニアリングタスクに優れ、大規模システム全体を文脈として保持しつつ、曖昧なエラーに対しても推論を行います。安全性は引き続き最優先事項であり、モデルは新たなサイバーおよび生物学リスクに対して厳格に評価され、レッドチームによってテストされ、ほぼ 200 の信頼できるパートナーからのフィードバックに基づいて改良され、「生物学・化学およびサイバーセキュリティ能力において OpenAI の準備度フレームワークの「High」カテゴリー分類」を受領しました。GPT‑5.5 は、ChatGPT および Codex で Plus、Pro、Business、Enterprise ユーザーへ段階的に導入されており(gpt-5.5 Pro は Pro、Business、Enterprise 向けに利用可能)、API アクセスも近日中に gpt-5.5 について入力トークン当たり 5 ドル、出力トークン当たり 30 ドル(gpt-5.5-pro は 30 ドル/180 ドル)、および Very soon at $5/1M input tokens and $30/1M output tokens for gpt-5.5 ($30/$180 for gpt-5.5-pro) のレートで利用可能になります。OpenAI はまた、Trusted Access for Cyber を通じて「cyber-permissive」モデルの提供範囲を拡大し、検証済みユーザーに制限が少なくなった高度なセキュリティツールへのアクセスを提供します。知識作業ベンチマークでは、プロンプトチューニングなしで GDPval で 84.9%、OSWorld-Verified で 78.7%、Tau2-bench Telecom で 98.0% の強力な結果を示しました。 ## Text to translate: ## Summary: OpenAI is launching GPT‑5.5, its smartest and most intuitive model yet, specifically engineered for agentic coding, complex computer use, knowledge work, and scientific research. The model matches GPT‑5.4 per-token latency while significantly reducing token usage for Codex tasks, achieving faster generation speeds by over 20% when serving on NVIDIA GB200 and GB300 NVL72 systems (with help from Codex in optimizing load balancing heuristics). It delivers state-of-the-art performance with 82.7% accuracy on Terminal-Bench 2.0 for complex command-line workflows and 58.6% on SWE-Bench Pro for real-world GitHub issue resolution. In Codex, it excels at end-to-end engineering tasks—from implementation and refactoring to debugging—while holding context across large systems and reasoning through ambiguous failures. Safety remains a top priority: the model was rigorously evaluated against emerging cyber and biology risks, tested by redteamers, and refined with feedback from nearly 200 trusted partners, earning a "High" classification under OpenAI's Preparedness Framework for biological/chemical and cybersecurity capabilities. GPT‑5.5 is rolling out to Plus, Pro, Business, and Enterprise users in ChatGPT and Codex (with GPT‑5.5 Pro available to Pro, Business, and Enterprise), and API access will be available very soon at $5/1M input tokens and $30/1M output tokens for gpt-5.5 ($30/$180 for gpt-5.5-pro). OpenAI also expands "cyber-permissive" models via Trusted Access for Cyber, allowing verified users to access advanced security tools with fewer restrictions. Knowledge work benchmarks show strong results: 84.9% on GDPval, 78.7% on OSWorld-Verified, and 98.0% on Tau2-bench Telecom without prompt tuning.

2026/04/23 23:17

Bitwarden CLI、継続中の Checkmarz サプライチェーン攻撃で乗っ取られたと判明

## 日本語訳: セキュリティ研究者の InstallSocket が、継続中の「Checkmarx」キャンペーンの一環として、Bitwarden CLI ツール(@bitwarden/cli バージョン 2026.4.0)を対象とした重大なサプライチェーン攻撃を発見した。当該侵害は npm パッケージ内の `bw1.js` ファイルにあり、Bitwarden のビルドパイプラインにおける改ざんされた GitHub Action を利用して悪意のあるコードを注入したものである。これは CLI を使用する組織に対して直ちに脅威をもたらすものの、Chrome 拡張機能や MCP サーバーなどの他の配信形態は影響を受けていない。 悪意のあるペイロードは、主要なクラウドプロバイダー(AWS、Azure、GCP)、npm、SSH および Claude/MCP の設定ファイルにアクセスするためにメモリーをスクレイピングし、機密認証情報を収集することを目的としている。データを流出させる手法としては、「Dune 風」の命名規則を用いた GitHub API アップロードや、npm トークンを盗むためのパッケージのリパブリッシュが含まれる。このリスクに直面している組織は、InstallSocket からのさらなる技術分析的な確認を待たずに、直ちにビルドログを検証して侵害の指標(改ざんされたシェルプロフィール(`~/.bashrc`、`~/.zshrc`)、特定のエビディングファイル(`/tmp/tmp.987654321.lock`)、「Shai-Hulud」や"Butlerian Jihad"といったキーワードなど)を特定し、すべての公開された機密情報(SSH キー、トークン、CI/CD クレデンシャル等)を再発行するよう求める。

2026/04/24 5:14

「『インターネットを 1999 年あたりのまま使いこなすような』感覚を持つ」あるいは「ネットの使い方を、まるで 1999 年のあの頃のように(古き良き時代のように)捉えている」という意味で解釈できます。

## Japanese Translation: 著者は、現代のインターネット利用習慣が私達をアルゴリズムによる操作と「ドゥームスクロリング(絶え間ないスクロール)」という循環に陥れ、ウェブの可能性の僅かな部分にのみ留まらせていることを主張している。注意の代理権を取り戻すためには、社会メディアプラットフォームから、RSS フィードや IRC/XMPP プロトコル、HTTP/SMTP サービスといった、企業インセンティブではなく制約によって設計された直接データソースへ移行する必要がある。このアプローチは、深い高品質なコンテンツへのアクセスを保証すると同時に、反復的な LLM ポストのような低努力な AI 生成コンテンツ(スロープ)を能動的に拒否することを可能にする;著者は、「これはこれではなく、あれだ」といった類の明らかなフレーズが付けられたコンテンツを特に避けている。 歴史的には、1999 年の時点で人口のおよそ 4% がインターネットを利用していただけであり、その時点ではソーシャルメディアとアルゴリズムが現在の約 75% の浸透率を支配する以前のことだった。提案される道筋は、Miniflux などのツールを設定して意図的な購読を通じて独自の現実を編集することを受け入れ、信頼性の高いテキスト通信のために単純なプロトコルを採用すること(1980 年代後半以降の IRC;OMEMO 暗号化を実装したセルフホスト XMPP)、そしてMATRIX/Element といったより有益でないプラットフォームをあえて避ける代わりに確立された標準を採用することを含む。最後に、ユーザーは専門的な検索習慣を採用すべきであり、受動的な閲覧ではなく正確なクエリの作成を通じて意味のある情報を抽出し、技術大手をユーザー主導の注意経済に適応させる可能性がある方向へと推すものである。