人口を超えた1.6億件——国家信用インフラを破った1つの脆弱性

2025年9月、ベトナムで「国民全員分を超える規模」のデータ漏洩が発生した。標的になったのはベトナム国家銀行(中央銀行)傘下の国家信用情報センター(CIC:Credit Information Center)——国民の借入履歴、所得証明、信用スコアを集中管理する公的機関だ。国際的なサイバー犯罪集団ShinyHuntersが1億6000万件以上のレコードを窃取し、ダークウェブのフォーラムで17万5,000ドル(約2,600万円)で売り出した。ベトナムの人口は約1億200万人であり、1人あたり1件以上のレコードが漏洩したことを意味する。攻撃者が突いたのは、パッチすら存在しない「サポートが切れたソフトウェア(EOLソフトウェア)」の脆弱性だった。

元記事・原文引用

元ネタMassive Data Breach: 160 Million Vietnamese Credit Records Stolen in CIC Hack(The Vietnamese Magazine / 2025年9月22日)

“Vietnam is investigating one of its largest-ever data breaches after the National Credit Information Center (CIC), under the State Bank, confirmed that the cybercrime group ShinyHunters had exfiltrated roughly 160 million records of personal and credit-related data.”

ShinyHuntersが身代金を要求しなかった構造——ダークウェブ経済の「直販モデル」への転換

ShinyHuntersはここ数年で最も多くの被害をもたらしたサイバー犯罪集団のひとつだ。過去にはTicketmaster(5億件超)、AT&T(7,300万件)などを攻撃し、世界規模での知名度を持つ。今回の攻撃で注目すべき点は、「身代金を一切要求しなかった」こと。CICが支払いに応じないと見越した上で、最初からダークウェブの専門フォーラム「Breachsta」でデータを直接販売する戦略をとった。

攻撃の技術的な背景はさらに深刻だ。使われた手法は「n-dayエクスプロイト」——既に公開されている既知の脆弱性だが、ベンダーがサポートを終了したソフトウェアにはパッチそのものが存在しない。CICが使用していたシステムがまさにこの状態で、技術的な防御手段がなかった。Resecurityの調査報告(2025年9月13日)によれば、盗まれたデータには氏名・住所・政府発行の識別番号・税務識別番号・雇用履歴・債務記録・信用リスク分析が含まれており、データの最新エントリは2025年2月時点のものだった。被害を受けた市民への事前通知は、研究者が確認した時点では行われていなかった。

「つまりこういうこと」——EOLソフトウェアを使い続けた公的機関が、既知の穴を抜かれた。そして犯罪集団は「交渉より販売」の方が確実に稼げると学習している。これはランサムウェア全盛期から次のフェーズへの移行を示す事例だ。

CICの失敗が日本に突きつけること——公的金融インフラとEOLリスクの構造

この事件は「ベトナムの特殊事例」として片付けられない。サポート切れのソフトウェアに依存する公的インフラという問題は、日本にも直結するからだ。日本の信用情報機関(シー・アイ・シー、日本信用情報機構など)や地方自治体のシステムでも、EOLソフトウェアの更新が追いついていないケースは珍しくない。

KPMGベトナムの分析(2024年)が指摘するように、ベトナムのデジタルインフラは急速な経済成長に対してセキュリティ投資が後手に回ってきた。同様の「成長速度に追いつけないセキュリティ問題」は、デジタル庁が推進するマイナンバー連携や金融機関のオープンバンキング整備を急ぐ日本でも潜在的なリスクとして存在している。

また、NTTデータ・富士通・三菱UFJフィナンシャル・グループなど多くの日系企業がベトナムに拠点を持ち、現地金融機関と連携したシステムを運用している。CICに登録された顧客の中に日系企業の現地法人社員や取引先のデータが含まれている可能性は十分にある。今回の漏洩が「ベトナム国内だけの問題」ではない理由がここにある。

セキュリティコストは誰が払うのか——サポート切れの問題が問いかける制度の穴

今回の事件の本質は、攻撃の巧妙さよりも「防げたはずの脆弱性が放置されていた」点にある。EOLソフトウェアの更新には多額の予算と、場合によっては業務停止を伴うシステム移行が必要だ。公的機関はコスト削減を優先し、更新を先延ばしにしてきた——その結果が1億6000万件の漏洩だった。

サイバーセキュリティの世界で「身代金要求型」から「ダークウェブ直販型」への移行が進む現在、従来の「攻撃されたら交渉する」対応スキームはもはや通用しない。データは交渉の道具ではなく、最初から「商品」として流通するのだ。この構造変化の中で、公的機関のセキュリティへの投資をコストではなく社会インフラとして位置づけるための制度設計が問われている。ベトナムの事例は、EOLソフトウェアを放置した場合の「最悪ケース」を可視化した——日本はそれを対岸の火事として見て終わるのか。

参照・原文リンク