EUの心臓部が狙われた——92GBの「静かな流出」
EUの欧州委員会がサイバー攻撃を受け、92GBの圧縮データが流出。TeamPCPとShinyHuntersという2つのハッカー集団が関与し、オープンソースツールの脆弱性を起点にしたサプライチェーン攻撃の実態が明らかになりました。
あなたが毎日使うツールが、知らないうちに「鍵泥棒」に変わっていたとしたら——。
2026年3月19日、欧州連合(EU)の行政執行機関である欧州委員会は、自ら信頼して使っていたオープンソースのセキュリティツールを経由して、機密アクセスキーを盗まれました。その結果、92ギガバイトの圧縮データが流出し、少なくとも29のEU機関のデータが影響を受けた可能性があります。EUのサイバーセキュリティ機関であるCERT-EUが今週公表した報告書が、この一連の経緯を詳細に明らかにしました。
何が起きたのか——「信頼の連鎖」が崩れた日
事の発端は、欧州委員会が利用していたオープンソースのセキュリティスキャンツール「Trivy」にあります。このツール自体が以前のハッキングで侵害されており、委員会は気づかないまま改ざんされたバージョンをダウンロードしてしまいました。そのツールを通じて、ハッカー集団TeamPCPはAmazon Web Services(AWS)アカウントに紐づいた秘密のAPIキーを窃取。そのキーを「踏み台」として、クラウド上に保存されていた大量のデータへのアクセスを手に入れました。
流出したデータには、氏名・メールアドレス・メールの本文が含まれています。CERT-EUによれば、約5万2,000件のファイルが送信済みメールを含んでおり、そのうちエラーで返送されたメールには「ユーザーが実際に書いた内容」が残っている可能性があり、個人情報漏洩のリスクが指摘されています。
盗まれたデータはその後、別のハッカー集団ShinyHuntersによってオンライン上に公開されました。攻撃から流出、そして公開——この一連の流れに、2つの異なる犯罪グループが分業して関与していたことが、今回の事案の際立った特徴です。
なぜ今、これが重要なのか
この事件は、単なる「大規模な情報漏洩」ではありません。サイバー犯罪の構造が変わりつつあることを示すシグナルです。
セキュリティ企業Palo Alto NetworksのUnit 42チームは、TeamPCPが最近、複数のオープンソースセキュリティプロジェクトを標的にした「体系的なサプライチェーン攻撃」を展開していると報告しています。開発者のアクセスキーを狙うことで、そのキーが使われているすべての組織を「人質」にできる——これが新しい攻撃の論理です。
さらに注目すべきは、TeamPCPとShinyHuntersという2つのグループの「協業」です。一方が侵入してデータを盗み、もう一方がそれを公開して圧力をかける。この分業モデルは、サイバー犯罪が「個人の技術者による犯行」から「組織的なビジネス」へと進化していることを示しています。
日本企業にとっても、この構造変化は他人事ではありません。日本の製造業や金融機関の多くはAWSをはじめとするクラウドサービスを積極的に活用しており、ソニーやトヨタのようなグローバル企業はオープンソースツールを開発パイプラインに組み込んでいます。「信頼しているツールが侵害の入り口になる」というリスクは、日本の企業・政府機関にとっても現実の脅威です。
実際、日本でも2024年にKADOKAWAグループが大規模なランサムウェア攻撃を受け、個人情報が流出した事例があります。サプライチェーンを経由した攻撃は、防御の難易度が格段に高く、どれほど自社のセキュリティを強化しても、利用しているツールやサービスが侵害されれば意味をなしません。
異なる視点から見えるもの
欧州委員会の広報担当者はTechCrunchの取材に対し、「機関は来週まで閉庁中」とだけ答えました。この対応の遅さに、一部のセキュリティ専門家からは批判の声が上がっています。EU加盟国の市民のデータを扱う機関が、インシデント発生から数週間後も公式コメントを出せない状況は、透明性の観点から問題があるという指摘です。
一方、Trivyを開発するAqua Securityの立場からすれば、自社ツールが攻撃の起点となったことは深刻なレピュテーションリスクです。オープンソースコミュニティ全体にとっても、「信頼性の証明」という課題が改めて突きつけられています。
また、クラウドサービスを提供するAmazon Web Servicesの視点では、APIキーの管理責任が利用者側にあるという立場を取ることが予想されます。しかし、クラウド事業者がどこまでセキュリティの「共同責任」を果たすべきかという議論は、今後さらに活発になるでしょう。
政策立案者の視点では、EUが自ら推進してきた「デジタル主権」の理念と、今回の脆弱性が露わにした現実との乖離が問われます。EUはNIS2指令などを通じてサイバーセキュリティ規制を強化してきましたが、その規制の対象である機関自身が攻撃を受けたという皮肉は見逃せません。
関連記事
米国防総省が確認:敵対勢力が商業的位置情報データを使い、戦場の米軍兵士を追跡・監視。広告テクノロジー産業が「国家安全保障上の脅威」として問われ始めた。
ブラウザのサイドチャネル攻撃「FROST」が、SSDのタイミング計測により閲覧履歴やアプリ情報を盗み見る。一般ユーザーから企業まで影響する新手法を解説。
Googleのセキュリティエンジニアが内部データを使い予測市場Polymarketで不正取引を行ったとして逮捕。仮想通貨の透明性が皮肉にも犯罪者の足跡を暴いた事件の全貌と、日本社会への示唆を読み解く。
英国ビザ申請の非公式サイト「UK Visa Portal」が、少なくとも10万件のパスポートや自撮り写真を公開状態で放置。セキュリティ問題が未解決のまま続いており、個人情報保護の観点から深刻な懸念を呼んでいます。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加