Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > メキシコ政府のデータ侵害:レガシーシステムとベンダーリスク

メキシコ政府のデータ侵害:レガシーシステムとベンダーリスク

by Patrick Spencer updated 2月 11, 2026 サイバーセキュリティー・リスク管理
Reading Time: 11 minutes

最近、ハクティビストグループがラテンアメリカ史上最大級の政府データ漏洩の責任を主張しました。標的となったのはメキシコ政府で、少なくとも25の政府機関から2.3テラバイトものデータが流出し、最大3,600万人のメキシコ市民の個人情報が漏洩した可能性があるという驚異的な規模でした。

主なポイント

  1. サードパーティベンダーは政府セクター最大の攻撃対象領域。政府機関の約30%が5,000以上のサードパーティとデータをやり取りしており、ベンダーに起因する侵害は近年68%も増加しています。包括的な追跡、アクセス制御、自動的な認証情報の失効がなければ、機関は最も機密性の高いデータがどこに流れているか把握できません。
  2. 「旧式」システムにデータが残っている場合、それは廃止されたシステムではない。メキシコ政府は侵害されたプラットフォームを旧式と説明しましたが、ハクティビストはそこから2.3テラバイトものデータを持ち出しました。レガシーシステムに市民データが残り、認証情報が有効なままなら、それは廃止ではなく、監視されていないリスク資産であり、悪用されるのを待っている状態です。
  3. ハクティビストグループはデータだけでなく「印象」も武器化する。Chronus Groupは複数の情報源からデータをまとめ、1つの大規模侵害として発表し、メディア報道と世間の不安を最大化しました。組織には、検証済みの漏洩と誇張された主張を区別するためのフォレンジック機能と改ざん不可能な監査ログが必要です。そうでなければ、世間の信頼が失われます。
  4. ラテンアメリカはサイバー脅威の拡大と多様化に直面。同地域の組織は現在、週平均3,065件ものサイバー攻撃に直面しており、国家支援型攻撃者、サイバー犯罪者、ハクティビストが同時に活動しています。地域のサイバーセキュリティ専門家は、世界の他地域と比べて自国政府の防御力に対する信頼が最も低いと報告しています。
  5. 統合データガバナンスこそがシステム上の抜け穴を塞ぐ唯一の方法。連邦、州、サードパーティシステムにまたがる断片的な監督体制が、今回のような侵害を可能にする要因です。中央集権的な可視化、ゼロトラストアーキテクチャ、自動アクセス失効、継続的な監査ログが、複雑な政府エコシステムで機密データを守るための基盤となります。

このインシデントは2026年1月30日に発覚し、特に外部委託業者が維持する老朽化インフラに機密市民データが保存されている場合、政府がどのようにデータを管理しているのかという緊急の課題を浮き彫りにしています。メキシコのサイバーセキュリティ機関は侵害の深刻さを過小評価しようと迅速に動きましたが、そこから見えてくる根本的な問題は決して小さくありません。

今回何が起きたのか、その重要性、そして大規模な機密データを扱う組織が学ぶべきことを解説します。

Chronus Groupが主張する流出内容

Chronus Groupと名乗るハッカー集団は、メキシコ政府システムから持ち出したとする文書やデータセットを公開しました。報道によれば、漏洩情報には氏名、電話番号、住所、生年月日、そしてメキシコの公的医療保険制度「IMSS Bienestar」への登録証明などが含まれているとされています。

これが事実であれば、メキシコ全人口の約28%に相当し、同地域で近年最大級の政府データ漏洩事件となります。

Chronus Groupは、脅威インテリジェンス企業Recorded Futureによると、少なくとも2021年から何らかの形で活動している比較的緩やかな集団です。ハクティビズムとサイバー犯罪の境界が曖昧で、一部のメンバーはダークウェブでデータベースや認証情報を販売する一方、組織全体は「サイバーテロリズム」集団を自称し、恐怖とメディア注目を最大化することを狙っています。

Recorded Futureのアナリストによれば、グループの戦略は意図的であり、「FUD(恐怖・不確実性・疑念)を広めることで話題を集めることを狙っている」と説明しています。ソーシャルメディアによる拡散力が、実際の能力以上にメッセージを広げていると指摘されました。

メキシコ政府の対応:被害抑制か正当な評価か?

メキシコのサイバーセキュリティ・デジタル技術の主管庁「Agencia de Transformación Digital y Telecomunicaciones(ATDT)」は、今回の侵害主張に対し、冷静かつ断固とした反論を行いました。同庁は、機密データの公開は確認されておらず、情報は過去の漏洩データの寄せ集めであり、新たな侵害ではないと述べています。

特に注目すべきは、ATDTが影響を受けたシステムを「民間事業者が州政府向けに開発・運用した旧式システム」と表現した点です。つまり、漏洩したデータは政府の中核的かつ現役のシステムではなく、理論上は既に運用を終えたサードパーティベンダーによるレガシープラットフォームから流出したものだとしています。

この違いは重要ですが、政府が期待するような意味ではありません。むしろ、単一の侵害よりもはるかに一般的かつ危険なシステム的脆弱性を示唆しています。

サードパーティベンダー問題は一件の事件よりはるかに深刻

ATDT自身によるシステムの説明は、政府サイバーセキュリティにおいて最も根強く過小評価されているリスクの1つ、すなわちサードパーティベンダー管理の課題を浮き彫りにしました。

政府機関はあらゆるレベルで、システムの構築・導入・運用を外部委託業者に依存しています。特に州や自治体では自前の技術力が限られるため、この傾向が顕著です。しかし、こうした関係には長期的なデータセキュリティを担保するガバナンス体制が欠如しがちです。

数字が現実を物語っています。Kiteworks 2024 Risk Score Reportによれば、政府機関の約30%が5,000以上のサードパーティとデータをやり取りしており、これは全業界で最も高い割合です。一方、サードパーティベンダーに起因するデータ侵害は68%増加し、全体の15%を占めるようになりました。2024年の主要な侵害の45%にベンダーやパートナーが関与しています。

政府セクター全体のリスクスコアは、2019年から2023年の間に95%上昇し、Kiteworksの指標で4.0から7.8へと急増しました。その主因はサードパーティ脆弱性とレガシーインフラです。

この問題が危険なのは、複合的な性質にあります。政府機関がベンダーにシステム構築を委託すると、ベンダーは機密データにアクセスできます。しかし契約終了やシステム更新後も、アクセス権限が残りがちです。認証情報が失効されず、データは誰も監視しないサーバーに残り、監督体制は連邦・州・地方で断片化しているため、機密データの所在やアクセス権限を一元的に把握する権限者がいません。

「旧式」=「安全」ではない理由

ATDTが影響システムを「旧式」と表現したのは、世間の安心感を狙ったものと思われますが、データライフサイクル管理に対する組織の根本的な認識不足を露呈しています。

本当に不要で使われていない旧式システムなら、データは安全に消去またはアーカイブされているはずです。にもかかわらず、ハクティビストが2.3テラバイトものデータを持ち出せたという事実は、適切な廃止措置が取られていなかったことを示しています。

このパターンは世界中の政府や大企業で繰り返されています。古いデータベースやファイルサーバー、アプリケーションは新システムに置き換えられても、旧システムはネットワーク上に残り、元の認証情報が有効なまま放置されがちです。IT部門が新たな優先事項に移る中、こうした放置システムは攻撃者にとって「価値あるデータ」と「最低限のセキュリティ監視」という2つの好条件が揃った格好の標的となります。

システム廃止時によくある失敗例としては、置き換え後もネットワーク上でアクセス可能なまま残るレガシーデータベース、元従業員・委託業者・ベンダーの認証情報が失効されない、機密データが消去も安全なアーカイブもされない、州機関が連邦サイバーセキュリティ監督と連携せずにシステムを導入する、などが挙げられます。

これらの失敗はすべて攻撃者が突く抜け穴となり、今回のメキシコ政府のケースではChronus Groupがまさにこうしたギャップを突いたと考えられます。

ラテンアメリカに迫るサイバー脅威の拡大

今回のメキシコの侵害は、決して孤立した出来事ではありません。ラテンアメリカは今や世界で最もサイバー攻撃の標的となっている地域の1つであり、同地域の組織は週平均3,065件もの攻撃に直面しています。

脅威の種類も多様化・拡大しています。中国のPandaグループを含む国家支援型攻撃者が同地域に注目し始め、情報窃取型マルウェアや認証情報収集型マルウェアの検出件数は2024年末にメキシコや周辺国で過去最高を記録し、今も増加傾向にあります(ESET調べ)。

ESETラテンアメリカ担当フィールドCISOのカミロ・グティエレス氏は「メキシコが直面する脅威環境は頻度・多様性ともに増し、従来型と新型の攻撃ベクトルが急速に進化しており、公私両セクターで防御・検知能力の継続的な強化が不可欠だ」と述べています。

技術的脅威に加え、信頼の危機も深刻です。最近の調査では、ラテンアメリカのサイバーセキュリティ専門家は自組織や政府の防御力に対する信頼が世界で最も低いと回答しています。この信頼の低下は現実的な影響を及ぼし、市民や企業が政府のデジタルサービス利用を控えるようになり、セキュリティ向上に資するはずのデジタル化推進自体が損なわれています。

ハクティビズムの手口:誇張・拡散・繰り返し

Chronus Groupが侵害の深刻さを大幅に誇張している可能性が高いことも指摘しておくべきです。これは、特定の作戦や主張を掲げて結成されるハクティビストグループに共通する手法です。

Recorded Futureのアナリストが述べたように、こうしたグループは複数の情報源からデータをまとめ、実際に新たに侵害したデータと過去の漏洩データを混ぜて、あたかも1件の大規模侵害であるかのように発表します。狙いはブランド力の強化です。主張する侵害規模が大きいほど、メディア報道やSNSでの拡散が増え、ハッカーコミュニティ内での信頼性も高まります。

ESETのグティエレス氏はChronus Groupを「明確な技術的特徴を持つ高度な脅威アクターではなく、主にメキシコの機関を標的とした一連の漏洩や脅威をまとめるためにフォーラムや地元報道で使われる名前」と評しています。このような緩やかな連携はハクティビスト界隈では一般的で、参入障壁が低く、誇張のインセンティブが高いのが特徴です。

とはいえ、誇張された侵害主張も実害をもたらします。世間の信頼を損ない、政府機関を危機対応に追い込み、どのデータが本当に危険にさらされているのか混乱を招きます。こうした主張に直面する組織には、フォレンジック分析や包括的な監査ログによって事実と虚構を迅速に区別する能力が不可欠です。

Kiteworksがこうした課題にどう対応するか

今回のメキシコ政府の侵害疑惑は、Kiteworksが解決を目指してきたデータセキュリティとコンプライアンス課題の典型例です。サードパーティ監督の断片化、放置されたレガシーシステム、失効されない認証情報、中央集権的なデータガバナンスの欠如など、本件の根本要因はKiteworksが組織のギャップを埋めるために提供している機能そのものです。

Kiteworksは、複雑かつ多層的なエコシステム全体で機密データの追跡・制御・保護を一元化するプラットフォームを提供します。メキシコ政府のようなベンダー関係や分散インフラが広がる組織にとって、同プラットフォームは複数の重要な機能をもたらします。

サードパーティリスク管理の観点では、Kiteworksはすべてのサードパーティによる機密データアクセスの包括的な監査ログを維持できます。きめ細かなロールベース・属性ベースのアクセス制御により、ベンダーは自分の役割に必要なデータだけにアクセス可能です。契約終了やシステム廃止時には自動的にアクセス権限が失効し、認証情報が無期限に残ることはありません。さらに、異常な挙動(大量ダウンロードや予期しない場所からのアクセスなど)に対してリアルタイムでアラートを発します。

レガシーシステムのガバナンスに関しては、KiteworksはData Security Posture Management(DSPM)機能を統合し、旧式と見なされたシステムも含め、すべてのリポジトリで機密データの発見・分類を支援します。これは、メキシコ政府のケースで欠如していた「可視性」を補うもので、旧式システムに市民データがテラバイト単位で残り、十分な監視やアクセス制御がなかった状況に対応します。

インシデント発生時には、Kiteworksが迅速かつ効果的な対応に必要なフォレンジック基盤を提供します。改ざん不可能な監査ログにより、誰がいつどこからどのデータにアクセスしたかの証跡(証拠保管の連鎖)が明確になります。SIEM連携によりリアルタイム監視と自動アラートが可能です。また、すべての接続システムで侵害された認証情報を即座に失効できるため、被害拡大を防ぎます。

特に政府機関にとって重要なのは、Kiteworksが透明性を支え、世間の信頼を維持できる点です。ATDTによるChronus Groupへの初動対応は迅速かつ的確でしたが、信頼を持続させるには、データがどのように守られているか、誰がアクセスしているか、将来のインシデント防止策がどう講じられているかを継続的に可視化する必要があります。Kiteworksの中央集権的なガバナンスとレポーティング機能により、こうした透明性を実運用レベルで実現できます。

すべての組織が学ぶべき教訓

メキシコ政府のデータ侵害疑惑は、最終的に主張通り深刻であろうと、過去のデータの再利用が主であろうと、メキシコやラテンアメリカを超えて広く学ぶべき教訓を含んでいます。

サードパーティベンダーは多くの政府機関にとって最大の攻撃対象領域であり、ほとんどの組織はそのリスクを効果的に管理するための可視性やガバナンス体制を持っていません。レガシーシステムは「旧式」と判断されただけでは安全になりません。データが適切に消去され、アクセスが失効され、監視体制が整って初めて安全となります。ハクティビストグループは「大規模侵害」という印象が実際の侵害と同等のダメージをもたらすことを学んでおり、組織には迅速かつ信頼性の高いフォレンジック能力が求められます。

これらすべての課題に共通するのは、連邦・州・サードパーティシステムを横断する統合データガバナンスの必要性です。これにより、セキュリティチームは機密データの所在、アクセス権限、リアルタイムの状況を一元的に把握できます。

今この能力に投資する組織こそが、次なる侵害(ハクティビストによる話題作り、国家支援型攻撃者の戦略的目的、サイバー犯罪者の金銭目的など)にも最も強く対応できるでしょう。そうでない組織は、メキシコ政府のように、何が侵害されたのかを慌てて調査し、すでに信頼を失いつつある世間に説明を迫られることになります。

よくある質問

2026年1月30日、Chronus Groupと呼ばれるハクティビストグループが、少なくとも25のメキシコ政府機関から2.3テラバイトのデータを流出させたと主張しました。流出データには、最大3,600万人のメキシコ市民の氏名、電話番号、住所、生年月日、医療登録記録が含まれていたと報じられています。メキシコのサイバーセキュリティ機関ATDTは、機密データの公開は確認されておらず、情報は旧式のサードパーティ管理システムに保存されていた過去の漏洩データであり、政府の中核インフラへの新たな侵入ではないと発表しました。

Chronus Groupは、少なくとも2021年から何らかの形で活動している緩やかなハッカー集団です。ハクティビズムとサイバー犯罪の境界が曖昧で、一部のメンバーはダークウェブで盗まれたデータベースや認証情報を販売しつつ、組織全体は「サイバーテロリズム」グループを自称しています。脅威インテリジェンスアナリストは、Chronusを明確な技術的特徴を持つ高度な攻撃者というより、主にメキシコ政府機関を標的とした一連の漏洩や脅威をまとめるための名称と説明しています。彼らの戦略は、ソーシャルメディアを活用して恐怖・不確実性・疑念を拡散し、話題性とハッカーコミュニティ内での評判を高めることにあります。

政府機関が古い技術プラットフォームを更新しても、旧システムは元の認証情報が有効なままネットワークに接続されていることが多いです。こうした放置システムはセキュリティパッチや監視、管理がほとんど行われず、攻撃者が大量の機密データを検知されずに持ち出せる格好の標的となります。メキシコの侵害では、ATDTが「旧式」と表現したプラットフォームからハクティビストが2.3テラバイトものデータを持ち出しました。適切な廃止には、すべての機密データの安全な消去またはアーカイブ、関連する認証情報の完全な失効、システム廃止後の不正アクセスがないことを証明する監査証跡の維持が必要です。

政府機関は特に州や地方レベルで、システムの構築や運用を外部委託業者に依存しています。こうしたベンダー関係は、機関がサードパーティのアクセス可能データを把握できず、契約終了時に認証情報を自動的に失効させる仕組みがなく、複数の政府レベルにまたがる断片的な監督体制で運用されているためリスクとなります。Kiteworks 2024 Risk Score Reportによれば、政府機関の約30%が5,000以上のサードパーティとデータをやり取りしており、政府セクター全体のリスクスコアは2019年から2023年で95%増加しました。中央集権的なガバナンス、自動アクセス制御、ベンダー活動の継続的監視がなければ、こうしたサードパーティ関係は攻撃者にとって恒常的な死角となります。

ラテンアメリカの組織は現在、週平均3,065件ものサイバー攻撃に直面しており、同地域は世界でも有数の標的地域となっています。脅威は多方面から同時に襲来しており、中国のPandaグループのような国家支援型攻撃者の進出、サイバー犯罪者による情報窃取型・認証情報収集型マルウェアの過去最高レベルでの展開、Chronus Groupのようなハクティビスト集団による政府機関への攻撃などが挙げられます。技術的脅威に加え、地域のサイバーセキュリティ専門家の間では自組織や政府の防御力への信頼が世界で最も低いと報告されており、攻撃増加と信頼低下の悪循環が、市民や企業のデジタル政府サービス利用意欲を下げ、近代化の取り組み自体を損なっています。

Kiteworksは、連邦・州・サードパーティシステム全体で機密データの可視化と制御を一元化できるプラットフォームを提供します。サードパーティリスク管理では、すべてのベンダーアクセスの包括的な監査ログを維持し、きめ細かなロールベース・属性ベースのアクセス制御を強制し、契約終了やシステム廃止時には認証情報を自動的に失効させます。Data Security Posture Management機能により、旧式とラベル付けされたレガシーシステムも含め、すべてのリポジトリで機密データの発見・分類を支援します。インシデント発生時には、改ざん不可能な監査ログやSIEM連携により迅速なフォレンジック分析が可能となり、セキュリティチームが侵害の範囲・時系列・影響を推測ではなく確信を持って特定できます。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks