パラグアイ市民登録局の情報漏洩で500万件の記録が流出

2026年4月6日4分で読めます

パラグアイ市民登録局データ侵害：現時点で判明していること

「GordonFreeman」というハンドルネームを使用する脅威アクターが、パラグアイの市民登録局から盗んだとされるデータベースをアンダーグラウンドフォーラムで販売リストに掲載した。脅威インテリジェンス監視アカウント「VECERTRadar」によって検知されたこの情報漏洩には、約500万件の記録が含まれているとされる。アラートによると、このデータは機密性の高いものであり、国の市民登録局が通常保有する個人情報と一致した内容であるとされている。

市民登録局は、どの国においても最も豊富なデータを保有する政府機関の一つである。通常、氏名の正式な法的記録、国民識別番号、生年月日、住所、家族関係データなどが保存されている。この情報漏洩に関する主張が事実であると確認された場合、流出した記録はパラグアイの総人口約700万人のかなりの割合を占める可能性がある。

どのようなデータが危険にさらされているか

データベースの全内容は独立した機関によってまだ確認されていないが、市民登録局のデータベースはその性質上、身元確認の基盤となる情報を含んでいる。これは、銀行、医療、投票、行政サービスなど、あらゆる場面で本人確認に使用される種類のデータである。

そのため、この種の情報漏洩は特に重大な結果をもたらす。漏洩したメールアドレスやパスワードとは異なり、市民の身元情報は変更することができない。漏洩したパスワードをリセットするように、生年月日や国民識別番号をリセットすることは不可能だ。この種のデータがアンダーグラウンド市場に流通し始めると、無期限に入手可能な状態が続き、他の漏洩データセットと組み合わせることで、標的型詐欺、なりすまし犯罪、ソーシャルエンジニアリング攻撃を可能にする恐れがある。

「GordonFreeman」による販売リストへの掲載は、データが金銭目的で利用されていることを示している。つまり、影響を受けた個人への通知が行われたとしても、通知の時点ですでに複数の購入者の手に渡っている可能性がある。

政府によるデータ侵害と個人による制御の限界

市民登録局の情報漏洩が持つ不都合な現実の一つは、被害を受けた個人にはそれを防ぐ手段がなかったという点だ。データは商業サービスへ自発的に提供したものではなく、政府機関が保有していたものである。市民は市民登録を拒否することができず、そのデータがどのように保護されているかを知る術もない。

これは、世界各国で見られる政府によるデータ侵害の広範なパターンを反映している。公的機関は、大量の高価値な身元情報を保有しているまさにその理由から、標的にされるケースが増えている。多くの場合、そのセキュリティインフラは民間部門に比べて遅れをとっている。ラテンアメリカの政府データベースは近年、情報漏洩の開示件数が増加しているが、これはどの地域も例外ではない。

このデータを保護する責任は、それを収集・保管する機関にある。そうした機関が責務を果たせなかった場合、その後の影響は、選択の余地をまったく与えられなかった個人に降りかかることになる。

あなたへの影響

パラグアイ市民である場合、またはパラグアイの市民登録局に登録したことがある場合、公式な説明が提供されるまで、自身の身元情報が漏洩した可能性があるものとして扱うべきだ。具体的に取るべき対策を以下に示す。

金融口座を注意深く監視すること。 不審な取引や新たな信用照会は、自分の知らないところで個人情報が悪用されている初期の兆候である可能性がある。

フィッシング詐欺に警戒すること。 漏洩データを購入した攻撃者は、それを使って巧妙ななりすましメッセージを作成することが多い。個人情報に言及しながら連絡してきた相手がいる場合は、返答する前に公式の手段でその相手の身元を確認すること。

自分の情報が既知の情報漏洩事例に含まれていないか確認すること。 公開された漏洩データをインデックス化するサービスを利用すれば、自分のメールアドレスやその他の識別情報が過去の事例に現れていないかを確認できる。

銀行や金融機関に連絡すること。 個人情報が漏洩した可能性があることを伝えることで、自分の名義で行われるアカウントの変更や新規申請に対して、追加の審査を適用してもらうことができる。

パラグアイ当局にとって、この情報漏洩は緊急の対応を求めるものであり、被害の範囲を調査し、影響を受けた個人に透明性をもって通知し、関係するシステムの徹底的なセキュリティ審査を実施することが求められる。

自分では守れないデータについての教訓

パラグアイの市民登録局の情報漏洩は、個人データのセキュリティは個人の行動だけで解決できる問題ではないことを改めて示している。市民のデータを保有する政府や機関は、物理的なセキュリティと同じ真剣さをもってそれを保護する義務を負っている。その義務が果たされないとき、何百万もの人々が、自らが引き起こしたわけでもないリスクにさらされることになる。

パラグアイに在住している方、または影響を受ける可能性のある知人がいる方は、現時点で最も有効な対応として、情報を継続的に収集し、悪用の兆候がないかを監視し、状況の進展に応じてパラグアイのデータ保護機関や市民登録局当局から発表される公式ガイダンスに従うことを心がけていただきたい。

// よくある質問

パラグアイ市民登録局から盗まれたデータを販売リストに掲載したのは誰か？

「GordonFreeman」というハンドルネームを使用する脅威アクターが、アンダーグラウンドフォーラムにデータベースを掲載した。この情報漏洩は、脅威インテリジェンス監視アカウント「VECERTRadar」によって検知された。

パラグアイ市民登録局の情報漏洩で流出した記録は何件と報告されているか？

この情報漏洩には約500万件の記録が含まれているとされており、パラグアイの総人口約700万人のかなりの割合を占める可能性がある。

市民登録局のデータベースには通常どのような個人情報が保存されているか？

市民登録局には通常、氏名の正式な法的記録、国民識別番号、生年月日、住所、家族関係データが保存されている。この身元確認の基盤となる情報は、銀行、医療、投票、行政サービスなどにおける本人確認に使用される。

市民登録局の情報漏洩が他の種類のデータ侵害より深刻と見なされるのはなぜか？

パスワードやメールアドレスとは異なり、生年月日や国民識別番号などの市民の身元情報は変更やリセットができない。アンダーグラウンド市場に流通し始めると、このデータは無期限に入手可能な状態が続き、詐欺、なりすまし犯罪、ソーシャルエンジニアリング攻撃を可能にする恐れがある。

パラグアイ市民は自分のデータが流出しないよう、何か対策を取ることができたか？

いいえ、市民登録は義務であり市民は拒否することができないため、個人が情報漏洩を防ぐ手段はなかった。データを保護する責任は、それを収集・保管した政府機関にあった。