タイ工学士評議会サーバーが侵害、会員30万人の個人情報が流出。移行時の脆弱性狙われる

タイの工学士を統括する国家資格団体「タイ工学士評議会（Council of Engineers Thailand、COE）」のサーバーが、ソンクラン連休中に不正アクセスを受け、会員30万人以上の個人情報が流出した。4月23日、第8期理事会のチューラート・ジットジュアチュン理事が自身のFacebookで事実を公表し、警察への被害届の写しも併せて公開した。タイのインフラ、建設、製造業を支える技術者の多くがこの評議会に登録しており、国家規模の情報漏洩事件となった。

タイ工学士評議会は、土木、機械、電気、化学、環境、鉱業、工業の各分野で国家資格を与える機関で、登録会員数は約35万人とされる。今回流出した情報には、氏名、国民ID番号、住所、電話番号、電子メール、資格等級、勤務先など、詐欺や成りすましに悪用されうる要素が広く含まれている公算が大きい。評議会自身は「具体的な流出項目の詳細は調査中」としているが、フィッシングやなりすまし業務受注の被害が拡大する可能性が警告されている。

同理事の説明によれば、評議会はソンクラン連休（4月中旬）を挟んで、既存の会員ポータル「COE Service 2」を新システム「COE Service 3」に移行する最中だった。新旧システムの切替段階で権限管理の設定に不具合が発生し、通常は担当候補者数十人の情報しか閲覧できない昇級試験審査委員が、会員全員の情報を閲覧できる状態に陥った。この空白期間を狙って攻撃者が管理者（Admin）のユーザー名とパスワードを入手し、データベース全体を引き抜いたとみられる。

タイではエンジニアが橋梁、ビル、発電所などインフラ建設の設計や監理を担う場合、工学士評議会への登録が法律で義務づけられており、外国人技術者でも一定条件を満たせば登録している。2025年の未承認高層ビル倒壊や、2026年4月のパタヤ入管が2023年地震ビル倒壊事件のトルコ人エンジニアを逮捕した件など、資格登録情報は規制当局にとっても犯罪捜査の鍵になる重要データだ。

タイの公的機関ではこの1〜2年、情報漏洩事件が相次いでいる。保健省のワクチン予約システム、タイ銀行、商務省のノミニー企業登記データベースなど、いずれもレガシーシステムからの移行作業や古い認証方式が原因とされてきた。工学士評議会も本来はサードパーティ監査を経たうえで切替えるべきだが、国家インフラに近い機関でもソンクラン連休中に保守切替を走らせる荒い運用が残っていた実態が浮かぶ。

工学士評議会には、タイ現地法人で設計や監理を担う日本人エンジニアも一部登録している。登録情報が流出した場合、タイ国民IDに相当する「外国人ID番号」や住所、資格等級、勤務先まで漏れるため、フィッシングメールや偽の発注依頼、ビザ更新情報の詐取など、リスクが広範に及ぶ。該当する技術者は、登録メールアドレスや電話番号宛てのメッセージに十分な注意を払い、疑わしい連絡は評議会の公式窓口で直接確認するのが望ましい。