EUの心臓部が狙われた——92GBの「静かな流出」
EUの欧州委員会がサイバー攻撃を受け、92GBの圧縮データが流出。TeamPCPとShinyHuntersという2つのハッカー集団が関与し、オープンソースツールの脆弱性を起点にしたサプライチェーン攻撃の実態が明らかになりました。
あなたが毎日使うツールが、知らないうちに「鍵泥棒」に変わっていたとしたら——。
2026年3月19日、欧州連合(EU)の行政執行機関である欧州委員会は、自ら信頼して使っていたオープンソースのセキュリティツールを経由して、機密アクセスキーを盗まれました。その結果、92ギガバイトの圧縮データが流出し、少なくとも29のEU機関のデータが影響を受けた可能性があります。EUのサイバーセキュリティ機関であるCERT-EUが今週公表した報告書が、この一連の経緯を詳細に明らかにしました。
何が起きたのか——「信頼の連鎖」が崩れた日
事の発端は、欧州委員会が利用していたオープンソースのセキュリティスキャンツール「Trivy」にあります。このツール自体が以前のハッキングで侵害されており、委員会は気づかないまま改ざんされたバージョンをダウンロードしてしまいました。そのツールを通じて、ハッカー集団TeamPCPはAmazon Web Services(AWS)アカウントに紐づいた秘密のAPIキーを窃取。そのキーを「踏み台」として、クラウド上に保存されていた大量のデータへのアクセスを手に入れました。
流出したデータには、氏名・メールアドレス・メールの本文が含まれています。CERT-EUによれば、約5万2,000件のファイルが送信済みメールを含んでおり、そのうちエラーで返送されたメールには「ユーザーが実際に書いた内容」が残っている可能性があり、個人情報漏洩のリスクが指摘されています。
盗まれたデータはその後、別のハッカー集団ShinyHuntersによってオンライン上に公開されました。攻撃から流出、そして公開——この一連の流れに、2つの異なる犯罪グループが分業して関与していたことが、今回の事案の際立った特徴です。
なぜ今、これが重要なのか
この事件は、単なる「大規模な情報漏洩」ではありません。サイバー犯罪の構造が変わりつつあることを示すシグナルです。
セキュリティ企業Palo Alto NetworksのUnit 42チームは、TeamPCPが最近、複数のオープンソースセキュリティプロジェクトを標的にした「体系的なサプライチェーン攻撃」を展開していると報告しています。開発者のアクセスキーを狙うことで、そのキーが使われているすべての組織を「人質」にできる——これが新しい攻撃の論理です。
さらに注目すべきは、TeamPCPとShinyHuntersという2つのグループの「協業」です。一方が侵入してデータを盗み、もう一方がそれを公開して圧力をかける。この分業モデルは、サイバー犯罪が「個人の技術者による犯行」から「組織的なビジネス」へと進化していることを示しています。
日本企業にとっても、この構造変化は他人事ではありません。日本の製造業や金融機関の多くはAWSをはじめとするクラウドサービスを積極的に活用しており、ソニーやトヨタのようなグローバル企業はオープンソースツールを開発パイプラインに組み込んでいます。「信頼しているツールが侵害の入り口になる」というリスクは、日本の企業・政府機関にとっても現実の脅威です。
実際、日本でも2024年にKADOKAWAグループが大規模なランサムウェア攻撃を受け、個人情報が流出した事例があります。サプライチェーンを経由した攻撃は、防御の難易度が格段に高く、どれほど自社のセキュリティを強化しても、利用しているツールやサービスが侵害されれば意味をなしません。
異なる視点から見えるもの
欧州委員会の広報担当者はTechCrunchの取材に対し、「機関は来週まで閉庁中」とだけ答えました。この対応の遅さに、一部のセキュリティ専門家からは批判の声が上がっています。EU加盟国の市民のデータを扱う機関が、インシデント発生から数週間後も公式コメントを出せない状況は、透明性の観点から問題があるという指摘です。
一方、Trivyを開発するAqua Securityの立場からすれば、自社ツールが攻撃の起点となったことは深刻なレピュテーションリスクです。オープンソースコミュニティ全体にとっても、「信頼性の証明」という課題が改めて突きつけられています。
また、クラウドサービスを提供するAmazon Web Servicesの視点では、APIキーの管理責任が利用者側にあるという立場を取ることが予想されます。しかし、クラウド事業者がどこまでセキュリティの「共同責任」を果たすべきかという議論は、今後さらに活発になるでしょう。
政策立案者の視点では、EUが自ら推進してきた「デジタル主権」の理念と、今回の脆弱性が露わにした現実との乖離が問われます。EUはNIS2指令などを通じてサイバーセキュリティ規制を強化してきましたが、その規制の対象である機関自身が攻撃を受けたという皮肉は見逃せません。
関連記事
GitHubが約3,800件の内部リポジトリからデータを盗まれたことを確認。VSCode拡張機能を悪用した攻撃の手口と、日本の開発者・企業が今すぐ取るべき対策を解説します。
iPhoneの盗難後フィッシング、Foxconnへのランサムウェア攻撃、Teams録音で自滅した双子ハッカーなど、2026年5月第3週のサイバーセキュリティ重大ニュースを多角的に解説します。
日本のスタートアップReqreaが運営するホテルチェックインシステム「Tabiq」で、100万件超のパスポートや顔写真が誰でも閲覧可能な状態に。高度な攻撃ではなく、単純な設定ミスが招いた今回の事態が問うものとは。
生成AIの普及で企業データが第三者プラットフォームに集中する中、「AIと데이터の主権」を取り戻す動きが加速している。EDBの調査では世界の経営幹部の70%が独自の主権型プラットフォームが必要と回答。日本企業への影響と今後の展望を読み解く。
GitHubが約3,800件の内部リポジトリからデータを盗まれたことを確認。VSCode拡張機能を悪用した攻撃の手口と、日本の開発者・企業が今すぐ取るべき対策を解説します。
iPhoneの盗難後フィッシング、Foxconnへのランサムウェア攻撃、Teams録音で自滅した双子ハッカーなど、2026年5月第3週のサイバーセキュリティ重大ニュースを多角的に解説します。
日本のスタートアップReqreaが運営するホテルチェックインシステム「Tabiq」で、100万件超のパスポートや顔写真が誰でも閲覧可能な状態に。高度な攻撃ではなく、単純な設定ミスが招いた今回の事態が問うものとは。
生成AIの普及で企業データが第三者プラットフォームに集中する中、「AIと데이터の主権」を取り戻す動きが加速している。EDBの調査では世界の経営幹部の70%が独自の主権型プラットフォームが必要と回答。日本企業への影響と今後の展望を読み解く。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加