セキュリティ

ハンガリー政府職員のパスワードが「FrankLampard」だった話

国防から外交まで、約800件のハンガリー政府アカウントが流出データの中に紛れ込んでいた。守っていたのは、元イングランド代表MFの名前だった。

情報の灯台

情報の灯台

ハンガリー政府職員のパスワードが「FrankLampard」だった話

国防から外交まで、約800件のハンガリー政府アカウントが流出データの中に紛れ込んでいた。守っていたのは、元イングランド代表MFの名前だった。

国家機密を守っていたのは、サッカー選手の名前だった

調査報道機関Bellingcatが2026年4月9日に公開した調査により、ハンガリー政府のメールアドレスとパスワードの組み合わせが、およそ800件も市中に出回る流出データ群の中から見つかった。

国防省、外務省、財務省。ほぼ全ての主要省庁を横断している。一部の部署がだらしなかったという話ではなく、国家運営の中枢で基本的なパスワード衛生が崩れていたという話だ。

そして、なかでも象徴的だったのが、情報セキュリティを担当する大佐のパスワードである。

「FrankLampard」という選択

Bellingcatの報告によれば、情報セキュリティ部門の大佐は、業務用アカウントに元イングランド代表MFの名前であるFrankLampardをそのまま設定していた。他にも、地方局長クラスの人物が「123456aA」を、NATO代表部に関わる上級職員が英語で「cute」に相当する単語を使っていたという。

ある准将に至っては、自分のニックネームを使って映画祭のサイトに登録していた。職務用アドレスで。

情報セキュリティの専門家が、自らのアカウントを有名人の名前1語で守っていた。この事実そのものが、組織全体のリテラシーを雄弁に物語っている。
Bellingcatが公開した弱いパスワードの実例
職位・所属 使用していたパスワード 登録先・経路
情報セキュリティ担当 大佐 FrankLampard 業務用アカウント
地方局長クラス 123456aA 業務用アカウント
NATO代表部 上級職員 「cute」相当の単語 業務用アカウント
准将 本人ニックネーム 映画祭サイト
(不特定) linkedinlinkedin LinkedIn流出後も継続使用
出典:Bellingcat「The Hungarian Government Passwords Exposed Online」(2026年4月9日公開)

笑い話として消費するのは簡単だ。だが、本当に問うべきは、なぜ「情報セキュリティの肩書を持つ人物」がこの選択に至ったのか、という点である。

2021年のピーク、そして2026年まで続く漏洩

流出の多くは2021年前後にピークを迎えたものだ。ただし、データは2026年に入ってからも新たに表面化し続けている。

特に国防関連では約120件の認証情報が浮上しており、その一部は2023年にNATOのeラーニングプラットフォームで発生した侵害に起因する。メールアドレス、パスワード、電話番号がセットで露出した事案だ。

さらに気がかりなのは、infostealer(情報窃取型マルウェア)のログである。Bellingcatは、直近1か月以内に感染したとみられる端末のログも確認したと報じている。古い漏洩の再浮上ではなく、今まさに進行している感染が含まれている可能性が高い。

過去の事故の残響ではない。現在進行形の出血だ。
ハンガリー政府関連の認証情報が表面化した主な時点
2012
LinkedIn大規模流出
「linkedinlinkedin」等の古典的な文字列が露出。以後も一部アカウントで継続使用されていた。
2021
流出件数のピーク
Bellingcatが確認した約800件の多くは、この前後の流出データに由来する。
2023
NATO eラーニング侵害
国防関連約120件の一部がこの事案に連なる。メール・パスワード・電話番号がセットで露出した。
2026
直近1か月のinfostealerログ
Bellingcatが確認した感染端末には、直近1か月以内のものも含まれている。古い漏洩の残響ではなく現在進行形の出血。
出典:Bellingcat(2026年4月9日)/The Register(2026年4月11日報道)を基に整理

「linkedinlinkedin」という不思議な一貫性

報告で取り上げられた一例に、「linkedinlinkedin」というパスワードがある。2012年のLinkedIn大規模流出で露出した古典的な文字列が、その後もそのまま使い続けられていたとみられる。

変えないという選択に、ある種の一貫性を見出すことはできる。それは守る側が持つべき一貫性ではない、というだけの話だが。

職員たちは政府のメールアドレスで各種サービスに登録し、そこで同じパスワードを使い回していた。片方のサイトが破られれば、もう片方の鍵も開く。

問題の根はもう少し深い場所にある。教科書の1ページ目に載っているような話が、NATO加盟国の省庁で、2026年になっても現役で回っていたという一点だ。

ゼロデイは不要だった

この事案で興味深いのは、攻撃者側に高度な技術が何ひとつ要求されていないことだ。ゼロデイ脆弱性も、国家支援型APTグループの執念も、サプライチェーン侵害の巧妙さも、ここには登場しない。

必要だったのは、弱いパスワードと使い回し、そして「インターネットはすべてを覚えている」という事実だけだ。

NATO加盟国の防衛網の端に、FrankLampardと123456aAが並んでいた。半年後、この報告がどう受け止められているか、静かに見届けたい。

参照元

関連記事

Read more

Linux 7.0、Zen 3の誤検知エラーを土壇場で抑制

Linux 7.0、Zen 3の誤検知エラーを土壇場で抑制

Linux 7.0安定版のリリースが予定される当日、AMD Zen 3のユーザーを長らく悩ませてきた誤検知のハードウェアエラーを黙らせるパッチが、土壇場で送り込まれた。原因はハードウェアではなかった。 リリース当日の駆け込みパッチ Linux 7.0安定版のリリース当日、AMDのマシンチェック例外(MCE)ドライバに対する修正パッチが、ギリギリのタイミングでLinus Torvaldsへ送られた。送り主はx86メンテナのIngo Molnar。件名は素っ気なく、「Zen3クライアントで発生する誤ったハードウェアエラーをフィルタする」とだけ書かれていた。 変更行数はたった8行、対象ファイルは arch/x86/kernel/cpu/mce/amd.c の一か所のみ。リリース直前にカーネルへ入れるにしては、あまりに慎ましい修正だ。だが、この8行の裏には、Ryzen 5000シリーズのユーザーが抱え続けてきた不安があった。 Linux 7.0 直前パッチの概要 送信者Ingo Molnar(x86メンテナ) 宛先Linus Torvalds 件名x86/mc