Liabooks Home|PRISM News
EUの心臓部が狙われた——92GBの「静かな流出」
テックAI分析

EUの心臓部が狙われた——92GBの「静かな流出」

5分で読めるSource

EUの欧州委員会がサイバー攻撃を受け、92GBの圧縮データが流出。TeamPCPとShinyHuntersという2つのハッカー集団が関与し、オープンソースツールの脆弱性を起点にしたサプライチェーン攻撃の実態が明らかになりました。

あなたが毎日使うツールが、知らないうちに「鍵泥棒」に変わっていたとしたら——。

2026年3月19日、欧州連合(EU)の行政執行機関である欧州委員会は、自ら信頼して使っていたオープンソースのセキュリティツールを経由して、機密アクセスキーを盗まれました。その結果、92ギガバイトの圧縮データが流出し、少なくとも29のEU機関のデータが影響を受けた可能性があります。EUのサイバーセキュリティ機関であるCERT-EUが今週公表した報告書が、この一連の経緯を詳細に明らかにしました。

何が起きたのか——「信頼の連鎖」が崩れた日

事の発端は、欧州委員会が利用していたオープンソースのセキュリティスキャンツール「Trivy」にあります。このツール自体が以前のハッキングで侵害されており、委員会は気づかないまま改ざんされたバージョンをダウンロードしてしまいました。そのツールを通じて、ハッカー集団TeamPCPはAmazon Web Services(AWS)アカウントに紐づいた秘密のAPIキーを窃取。そのキーを「踏み台」として、クラウド上に保存されていた大量のデータへのアクセスを手に入れました。

流出したデータには、氏名・メールアドレス・メールの本文が含まれています。CERT-EUによれば、約5万2,000件のファイルが送信済みメールを含んでおり、そのうちエラーで返送されたメールには「ユーザーが実際に書いた内容」が残っている可能性があり、個人情報漏洩のリスクが指摘されています。

盗まれたデータはその後、別のハッカー集団ShinyHuntersによってオンライン上に公開されました。攻撃から流出、そして公開——この一連の流れに、2つの異なる犯罪グループが分業して関与していたことが、今回の事案の際立った特徴です。

なぜ今、これが重要なのか

この事件は、単なる「大規模な情報漏洩」ではありません。サイバー犯罪の構造が変わりつつあることを示すシグナルです。

PRISM

広告掲載について

[email protected]

セキュリティ企業Palo Alto NetworksのUnit 42チームは、TeamPCPが最近、複数のオープンソースセキュリティプロジェクトを標的にした「体系的なサプライチェーン攻撃」を展開していると報告しています。開発者のアクセスキーを狙うことで、そのキーが使われているすべての組織を「人質」にできる——これが新しい攻撃の論理です。

さらに注目すべきは、TeamPCPShinyHuntersという2つのグループの「協業」です。一方が侵入してデータを盗み、もう一方がそれを公開して圧力をかける。この分業モデルは、サイバー犯罪が「個人の技術者による犯行」から「組織的なビジネス」へと進化していることを示しています。

日本企業にとっても、この構造変化は他人事ではありません。日本の製造業や金融機関の多くはAWSをはじめとするクラウドサービスを積極的に活用しており、ソニートヨタのようなグローバル企業はオープンソースツールを開発パイプラインに組み込んでいます。「信頼しているツールが侵害の入り口になる」というリスクは、日本の企業・政府機関にとっても現実の脅威です。

実際、日本でも2024年KADOKAWAグループが大規模なランサムウェア攻撃を受け、個人情報が流出した事例があります。サプライチェーンを経由した攻撃は、防御の難易度が格段に高く、どれほど自社のセキュリティを強化しても、利用しているツールやサービスが侵害されれば意味をなしません。

異なる視点から見えるもの

欧州委員会の広報担当者はTechCrunchの取材に対し、「機関は来週まで閉庁中」とだけ答えました。この対応の遅さに、一部のセキュリティ専門家からは批判の声が上がっています。EU加盟国の市民のデータを扱う機関が、インシデント発生から数週間後も公式コメントを出せない状況は、透明性の観点から問題があるという指摘です。

一方、Trivyを開発するAqua Securityの立場からすれば、自社ツールが攻撃の起点となったことは深刻なレピュテーションリスクです。オープンソースコミュニティ全体にとっても、「信頼性の証明」という課題が改めて突きつけられています。

また、クラウドサービスを提供するAmazon Web Servicesの視点では、APIキーの管理責任が利用者側にあるという立場を取ることが予想されます。しかし、クラウド事業者がどこまでセキュリティの「共同責任」を果たすべきかという議論は、今後さらに活発になるでしょう。

政策立案者の視点では、EUが自ら推進してきた「デジタル主権」の理念と、今回の脆弱性が露わにした現実との乖離が問われます。EUはNIS2指令などを通じてサイバーセキュリティ規制を強化してきましたが、その規制の対象である機関自身が攻撃を受けたという皮肉は見逃せません。

本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。

PRISM Weekly — 4カ国のニュース温度差を毎週お届け
サイバーセキュリティデータ漏洩EUクラウドセキュリティサプライチェーン攻撃EU欧州委員会 サイバー攻撃 データ漏洩

意見

関連記事

医療データの「脇道」— Hims & Hersの情報漏洩が示す盲点
テックJP
医療データの「脇道」— Hims & Hersの情報漏洩が示す盲点

遠隔医療大手Hims & Hersがソーシャルエンジニアリング攻撃を受け、顧客サポートシステムから個人情報が流出。医療記録は無事でも、サポート履歴に潜む健康情報リスクとは何か。

「爆弾で交渉する」——米テック企業がイランの標的になる日
テックJP
「爆弾で交渉する」——米テック企業がイランの標的になる日

イランがApple、Google、Microsoftなど18社を標的にすると警告。中東でのデータセンター拡張戦略が揺らぐ中、日本企業のクラウド依存リスクとは何か。

米移民局がスパイウェアを使っていた——あなたのスマホは安全か?
テックJP
米移民局がスパイウェアを使っていた——あなたのスマホは安全か?

米国移民税関執行局(ICE)がイスラエル系企業Paragon Solutionsのスパイウェアを捜査に使用していたことが判明。暗号化通信の「盲点」を突くこの技術は、市民の自由にどんな影響を与えるのか。

DeFiから2億8500万ドルが消えた日
テックJP
DeFiから2億8500万ドルが消えた日

分散型金融プラットフォームDriftが大規模ハッキングの被害を受け、最大2億8500万ドル相当の暗号資産が流出。今年最大規模の暗号資産盗難事件となる可能性があり、DeFiセキュリティの根本的な課題が改めて問われています。

PRISM

広告掲載について

[email protected]
PRISM

広告掲載について

[email protected]