ヨーロッパを鉄道で旅しただけで、パスポート番号と『誰と行ったか』がダークウェブで売られている

何が起きたのか

Eurailは、35以上のヨーロッパの鉄道・フェリー会社が出資するオランダの企業で、ヨーロッパ全域で使える鉄道パスを発行しています。2023年だけで120万枚以上のパスを販売した、ヨーロッパ鉄道旅行の中核企業です。

2025年12月26日、このEurailのシステムにハッカーが侵入し、1.3テラバイトのデータを窃取しました。2026年1月10日にEurailが侵害を公表。その後、盗まれたデータのサンプルがTelegramで公開され、全データがダークウェブで売りに出されました。

2026年4月10日、Eurailは米国の複数の州の司法長官に対し、30万8777人の米国人が影響を受けたことを届け出ました。全世界の被害者数はさらに多いと推測されています。

『旅しただけ』で漏れたもの

• 氏名
• 同行者の名前と情報
• パスポート番号、発行国、有効期限
• 住所、メールアドレス、電話番号

さらに、EU教育プログラム『DiscoverEU』を通じて鉄道パスを受け取った若者については、追加で以下の情報も漏えいしています。

• パスポートや身分証明書のコピー画像
• 銀行口座番号(IBAN)
• 健康情報
• 生年月日

旅行データは『誰が・いつ・どこに・誰と行ったか』を特定できる。これは行動の記録であり、最もプライベートな情報のひとつだ。

『同行者の名前』が漏れる意味

他の漏えい事件では『あなた自身』のデータが漏れます。しかしこの事件では『あなたと一緒に旅行した人』の情報まで漏れています。

これは恋人との旅行、家族旅行、出張の同行者など、本人が公にしたくない人間関係を第三者に知られるリスクがあることを意味します。パスポート番号と同行者名の組み合わせは、標的型の脅迫や詐欺の材料になりえます。

旅行がプライバシーリスクになる時代

航空券、ホテル予約、鉄道パス、レンタカー。旅行に関するあらゆる予約には、パスポート番号、同行者情報、決済情報が紐づいています。これらのデータは、予約サイト、旅行会社、交通機関、各国の入管システムを横断して保存されています。

• 航空券予約サイトでパスポート番号を入力したことがある
• ホテル予約で同行者の名前を登録したことがある
• レンタカーで免許証のコピーを提出したことがある
• 旅行保険の申請で健康情報を提供したことがある

これらの情報がどこに保存され、どの第三者と共有されているか、あなたは把握していますか? Eurailの事件は、旅行という日常行為がプライバシーリスクと直結していることを示しています。

自分の情報を守るためにできること

• メールアドレスが過去の漏えい事件に含まれていないか確認する
• 過去に旅行予約で使ったサービスのアカウントを整理し不要なものを削除する
• パスポート番号が漏えいした場合はパスポートの再発行を検討する
• 旅行関連を装ったフィッシングメール(予約確認、キャンセル通知等)に注意する
• 今後の予約時にパスポート画像のアップロードが本当に必要か確認する
• パスポートの画像を提出する場合はウォーターマーク(透かし)を入れる

まず確認すべきこと

旅行に関するデータがどこまで広がっているかを完全に把握するのは困難です。しかしメールアドレスの漏えいチェックから始めれば、過去にどのサービスから情報が漏れたかの手がかりを得ることができます。

出典

The Record(Recorded Future News): https://therecord.media/eurail-reports-data-breach-impacting-over-300000

The Register: https://www.theregister.com/2026/01/14/eurail_breach/

SecurityWeek: https://www.securityweek.com/300000-people-impacted-by-eurail-data-breach/

TechRadar: https://www.techradar.com/pro/security/eurail-confirms-stolen-traveler-data-is-on-sale-in-the-dark-web-and-it-still-doesnt-know-who-is-behind-the-attack