仏で約2000人の納税者アカウントにサイバー攻撃

仏財政総局(DGFiP)は8月20日、6月末に約2000人の納税者のアカウントに対し、サイバー攻撃があったと発表した。サイバー攻撃者は、納税者のメールボックスをハッキングした上で、そのオンライン納税サイト(impots.gouv.fr)上のアカウントにアクセスし、多くの場合、減税措置やタックスクレジットが与えられるように、彼らの納税申告を改竄していた。また、納税者の口座情報も完全に架空のものに置き換えていた。DGFiPでは、攻撃は金銭目的のものではないと見ている。
仏では、オンライン納税サイトへのアクセスの際に13桁の税務登録番号が必要だが、番号を忘れた納税者は、impots.gouv.frに既にアカウントを持っていれば、サイトに登録した電子メールアカウントを通して再取得が可能となっている。今回狙われたのは、この電子メールアカウントのパスワードがあまりにも簡単だったユーザーだった模様。ただし、被害があったのが2000人程度に過ぎなかったことから、税務当局は、被害を受けたアカウントを迅速に停止した上で、被害者に電話するなどの対策を講じたことから、実害はなかった。
税務当局では、今後は、オンライン納税サイトへのアクセスの際に、税務登録番号だけでなく、ユーザーの生年月日の確認も行うなどの対策を取ると説明している。また、より長期的には、SMSによるアクセス・コードの送信や、バイオメトリクス認証の導入などの対策の導入も検討する予定。