2025年11月05日 11時40分

ルーブル美術館の監視カメラのパスワードは「ルーブル」だった



2025年10月19日にルーブル美術館で発生した盗難事件をきっかけに、美術館のセキュリティがずさんだった可能性があることが指摘されています。過去には監視カメラのパスワードを「ルーブル(Louvre)」にしていたことがあるなど、特にITシステムの脆弱(ぜいじゃく)性は特筆に値するとのことです。



«Louvre» en mot de passe, logiciels obsolètes, mises à jour impossibles… Dix ans de failles dans la sécurité informatique du premier musée au monde – Libération

https://www.liberation.fr/checknews/louvre-en-mot-de-passe-logiciels-obsoletes-mises-a-jour-impossibles-dix-ans-de-failles-dans-la-securite-informatique-du-premier-musee-au-monde-20251101_RD5YGV6WMVAXLL6U3SRGVFBIBY/



10月19日、ルーブル博物館に目出し帽をかぶった4人の強盗が侵入し、複数の美術品を盗み出しました。犯行時間がわずか10分未満と短いことから、周到に計画されていた可能性や、美術館側の警備体制があまりにも脆弱だった可能性があることが指摘されています。



強盗事件の直後、フランス文化大臣のラシダ・ダティ氏は繰り返し「セキュリティ装置は故障していなかった」と主張しましたが、10日後にその口調は変わり、「警報は作動した」と主張しつつも「確かにセキュリティ上の欠陥は存在した」と強調。そして「欠陥、過失、責任について徹底的に解明する」と述べ、セキュリティ上の欠陥を監査し、修正するための最初の緊急措置を発表しました。



こうしたセキュリティ上の欠陥は、10年以上前から存在し続けていたことが、現地メディアのLibérationが確認した資料から明らかになりました。



資料によると、2014年12月中旬、3人のサイバーセキュリティ専門家がルーブル美術館のセキュリティ調査を実施したとのこと。ルーブル美術館が利用するネットワークには、アクセス制御、警報、ビデオ監視など、博物館の最も重要な保護・検知機器が接続されており、このネットワークの脆弱性を調査するのが目的だったとされています。





調査の結果、ルーブル美術館のセキュリティがあまりにもずさんで、多くの脆弱性があることが判明。例えば、監視カメラを管理するサーバーのパスワードは「ルーブル」だったほか、フランスのThales社が開発するセキュリティシステムへのアクセスパスワードは「Thales」と会社名をそのまま使っていました。加えて、2014年時点で旧式のWindows 2000が使用されていたこともあり、セキュリティ専門家はルーブル美術館に対してもっと複雑なパスワードの作成と脆弱性の修正を要請しました。



2015年10月、ルーブル美術館は新たな監査を要請し、1年半にわたり国立安全保障司法高等研究所の職員が現場を訪問し、美術館の幹部と面談してセキュリティシステムの欠陥に関する現状把握を実施しました。ところが、この調査で2014年時点の欠陥が一部修正されていないことが分かり、セキュリティ専門家は「これまで比較的被害を免れてきたが、深刻な結果をもたらす可能性をもはや無視できない」と結論づけたそうです。



2015年の調査では、訪問者の管理が不適切であること、工事の際に屋上へ侵入可能であること、監視カメラやアクセス制御などセキュリティシステムに不備があることが指摘されたほか、やはり旧式のOSを使用し続けていること、ウイルス対策ソフトの更新もせず、パスワードやセッションロックを設定していないことなども問題点として挙げられていました。





その後も定期的に調査が行われていますが、開発が終了したThalesのセキュリティシステムを2025年になっても使い続けていること、そのシステムが2015年にサポート終了となったWindows Server 2003搭載マシンで動き続けていることなど、数多くの脆弱性があることが発覚しています。

