欧州委員会のAWSが侵害——ShinyHuntersが350GBのデータ窃取
350ギガバイト——EU全加盟国27カ国の政策決定を支える欧州委員会(European Commission)から、これだけの規模のデータが流出した。2026年3月27日、欧州委員会はサイバー攻撃を受けたことを公式に確認した。攻撃を実行したのは、過去にTicketmasterやTELUS Digitalなど大規模侵害を繰り返してきた悪名高いハッキンググループ「ShinyHunters」だ。侵害の舞台となったのは、欧州委員会が利用するAWSのクラウド環境。europa.euドメインに紐づくシステムが標的となり、個人情報や内部文書を含む大量のデータが持ち出された。
EUの中枢機関がパブリッククラウド上で重大な侵害を受けたこの事件は、政府機関のクラウド採用に関する根本的な議論を再燃させている。本記事では、攻撃の詳細、ShinyHuntersの正体、流出データの内容、そして日本の政府クラウド戦略への影響までを包括的に解説する。
事件の概要
欧州委員会の報道官は2026年3月27日、同委員会のITインフラに対する不正アクセスを確認したと発表した。声明によると、「特定のシステムへの不正アクセスを検知し、直ちに封じ込め措置を講じた」としている。しかし、ShinyHuntersがダークウェブ上で公開した情報は、事態の深刻さがそれだけにとどまらないことを示唆している。
時系列
- 2026年3月中旬: ShinyHuntersが欧州委員会のAWS環境への侵入に成功(推定)
- 2026年3月25日: ShinyHuntersがダークウェブフォーラムで350GBのデータ窃取を主張、サンプルデータを公開
- 2026年3月27日: 欧州委員会がサイバー攻撃を公式に確認、TechCrunchが報道
- 2026年3月28日以降: ENISA(欧州ネットワーク情報セキュリティ機関)がフォレンジック調査を主導
注目すべきは、ShinyHuntersによるデータ公開が欧州委員会の公式発表より2日早かった点だ。これは攻撃者が先に情報を公開することで交渉材料を確保しようとする、近年のランサムウェア・恐喝グループに典型的な戦術である。
ShinyHuntersとは何者か
ShinyHuntersは2020年頃から活動が確認されているサイバー犯罪グループで、主にクラウド環境やSaaSプラットフォームを標的とした大規模データ窃取を得意とする。名前の由来はゲーム「ポケモン」の色違い(Shiny)ポケモンを集める「シャイニーハンター」から取られたとされる。
過去の主要な攻撃
ShinyHuntersは設立以来、数十の大規模侵害に関与してきた。その手口は一貫して「クラウド環境の設定ミスや認証情報の漏洩を突く」というものだ。
| 年月 | 標的 | 被害規模 | 手口 |
|---|---|---|---|
| 2024年 | Ticketmaster(米) | 5.6億件の顧客データ | Snowflake環境の認証情報を悪用 |
| 2024年 | AT&T(米) | 約1.1億件の通話記録 | Snowflake経由でデータ窃取 |
| 2024年 | Santander銀行(西) | 3,000万件の顧客情報 | クラウドDB認証情報の流出 |
| 2025年 | Infutor(米) | 6.76億人分の個人データ | データブローカーのクラウド環境侵入 |
| 2026年3月 | TELUS Digital(加) | 1PB(1,000TB) | GCP認証情報→BigQuery→ラテラルムーブメント |
| 2026年3月 | 欧州委員会(EU) | 350GB | AWS環境への侵入 |
特筆すべきは、ShinyHuntersがわずか2週間のうちにTELUS Digitalと欧州委員会という2つの巨大標的を攻撃した点だ。これはグループの攻撃能力とリソースが急速に拡大していることを示唆している。
2024年にはShinyHuntersのメンバーとされるフランス人ハッカー、セバスチャン・ラオー(Sébastien Raoult)がFBIに逮捕され、懲役3年の判決を受けた。しかしグループの活動は衰えるどころか、むしろ活発化しており、逮捕されたメンバーの穴を埋める人材の補充が行われていると見られる。
何が盗まれたか
ShinyHuntersがダークウェブ上で公開した情報と、セキュリティ研究者の分析によると、窃取されたデータには以下が含まれるとされる。
| データ種別 | 内容 | リスク評価 |
|---|---|---|
| 職員個人情報 | 欧州委員会職員の氏名、連絡先、内部ID | 高 |
| 内部通信記録 | メール、チャットログ、会議メモ | 極めて高 |
| 政策草案文書 | 未公開の規制案・政策文書 | 極めて高 |
| 委託業者データ | 外部ベンダーの契約情報、アクセス権限 | 高 |
| システム設定情報 | AWS環境のIAM設定、ネットワーク構成 | 極めて高 |
| 認証情報 | APIキー、サービスアカウント資格情報 | 極めて高 |
特に深刻なのは政策草案文書の流出だ。EUの規制は世界経済に直接的な影響を及ぼすため、未公開の政策文書は国家レベルのインテリジェンスとしての価値を持つ。例えばAI規制法(EU AI Act)の施行細則や、新たなデジタル課税の枠組みなどが含まれていれば、特定の国家や企業にとって計り知れない戦略的価値がある。
システム設定情報と認証情報の流出も見過ごせない。これらのデータがあれば、攻撃者は同じ環境に対する再侵入や、関連する他のEU機関への横展開(ラテラルムーブメント)が可能になる。欧州委員会はこれらの認証情報をすべて無効化し、再発行する必要がある。
この図は、ShinyHuntersがどのようなステップで欧州委員会のAWS環境に侵入し、350GBのデータを窃取したかを示しています。
認証情報の窃取やクラウドの設定ミスを起点とした攻撃は、正規のアクセスと区別がつきにくいため、従来のファイアウォールでは防御が極めて困難だ。攻撃者は「正規ユーザー」として振る舞い、通常の業務アクセスに紛れてデータを持ち出す。
なぜAWS環境が狙われたのか
欧州委員会がAWSを利用していること自体は、クラウドファーストを推進するEUのデジタル戦略に沿った選択だ。しかし、パブリッククラウドの利用にはいくつかの固有リスクがある。
共有責任モデルの落とし穴
AWSをはじめとするクラウドプロバイダーは「共有責任モデル」を採用している。インフラ(物理サーバー、ネットワーク、ハイパーバイザー)のセキュリティはAWSが担保するが、データの暗号化、アクセス制御、IAM設定、ネットワーク構成は利用者の責任だ。
今回の侵害は、AWS自体の脆弱性ではなく、欧州委員会側のクラウド設定やアクセス管理に問題があった可能性が高い。具体的には以下のような要因が推測される。
- 過剰なIAM権限: 最小権限の原則(Principle of Least Privilege)が徹底されていなかった
- 認証情報の管理不備: APIキーやサービスアカウントのローテーションが不十分
- ネットワーク分離の不足: VPC(Virtual Private Cloud)のセグメンテーションが甘く、一度侵入すると広範なリソースにアクセス可能
- 監視の遅れ: CloudTrailやGuardDutyのアラート設定が不十分で、異常なデータ転送を即座に検知できなかった
データ主権問題
この事件は、EU域内のデータを米国企業のクラウドに保存するという根本的な問題も浮き彫りにしている。EU一般データ保護規則(GDPR)は個人データの域外移転を厳しく制限しているが、AWSのデータセンターがEU域内にある場合でも、米国のCLOUD Actに基づく法執行機関のデータ開示要求の対象となりうる。
今回の侵害を受け、欧州議会の一部議員からは「主権クラウド(Sovereign Cloud)」の採用を加速すべきだとの声が上がっている。OVHCloudやDeutsche Telekomなど欧州系クラウドプロバイダーへの移行、あるいはAWSの「European Sovereign Cloud」(2025年にドイツで運用開始)の本格活用が議論されている。
2024年〜2026年 主要政府機関クラウド侵害事例
欧州委員会の事件は、政府機関のクラウド環境を標的とした攻撃の増加トレンドの中で起きている。以下に近年の主要事例をまとめた。
| 年月 | 被害機関 | クラウド | 攻撃者 | 被害概要 |
|---|---|---|---|---|
| 2024年1月 | 米国務省・商務省 | Microsoft 365 | Storm-0558(中国) | Exchangeメール数万件流出 |
| 2024年7月 | 米財務省 | BeyondTrust経由 | Silk Typhoon(中国) | 財務政策文書への不正アクセス |
| 2025年3月 | 英NHS(国民保健サービス) | Azure環境 | 不明 | 患者データ数百万件 |
| 2025年8月 | 豪州税務局 | AWS GovCloud | 不明 | 納税者情報の一部 |
| 2025年12月 | インド電子情報技術省 | マルチクラウド | 不明 | 市民IDデータベース |
| 2026年3月 | 欧州委員会 | AWS | ShinyHunters | 350GBの内部データ |
この表を見ると、攻撃の標的は特定のクラウドプロバイダーに偏っているわけではなく、AWS、Azure、Microsoft 365などプラットフォームを問わず被害が発生していることがわかる。問題の本質はクラウドプロバイダーの安全性ではなく、利用者側のセキュリティ設定と運用にある。
クラウドセキュリティの教訓
今回の事件から得られる教訓を、具体的な防御策とともに整理する。
1. ゼロトラストアーキテクチャの徹底
「ネットワーク内部は安全」という前提を捨て、すべてのアクセスを検証するゼロトラストモデルの導入が不可欠だ。具体的には以下を実装する。
- すべてのユーザー・サービスにMFA(多要素認証)を強制: 1Passwordのようなパスワードマネージャーとハードウェアキー(YubiKeyなど)を組み合わせ、認証情報の漏洩リスクを最小化する
- セッションの短期化: トークンの有効期限を短く設定し、長期間有効なアクセスキーの利用を禁止
- コンテキストベースのアクセス制御: IPアドレス、デバイス、時間帯、地理的位置に基づいてアクセスを動的に制御
2. IAM権限の最小化と監査
クラウド侵害の大半は、過剰なIAM権限が原因で被害が拡大する。
- 権限の棚卸し: 四半期ごとにすべてのIAMロール・ポリシーをレビューし、不要な権限を削除
- AWS IAM Access Analyzerの活用: 外部からアクセス可能なリソースを自動検出
- サービスコントロールポリシー(SCP): AWS Organizations のSCPで、特定のアクションを組織全体で禁止
3. シークレット管理の自動化
認証情報のハードコードや手動管理は、漏洩の最大の原因だ。
- AWS Secrets ManagerまたはHashiCorp Vault: APIキー、DBパスワード、サービスアカウント資格情報を一元管理
- 自動ローテーション: 認証情報を90日以内に自動ローテーションする設定を必須化
- GitGuardian/trufflehog: コードリポジトリやログ内に認証情報が含まれていないか定期的にスキャン
4. データ流出検知(DLP)とネットワーク監視
350GBものデータが持ち出されたということは、大量のアウトバウンド通信が発生していたはずだ。
- AWS Macieによる機密データ検出: S3バケット内の個人情報や機密データを自動分類
- VPCフローログの分析: 異常なデータ転送パターンをリアルタイムで検知
- AWS GuardDutyの有効化: 機械学習ベースの脅威検知で、通常と異なるAPIコールやデータアクセスを自動検出
この図は、クラウドセキュリティの多層防御モデルと、予防的対策・検知対応策の全体像を示しています。
多層防御の考え方は、1つの防御層が突破されても他の層で食い止めるという発想に基づいている。欧州委員会の事例では、初期侵入後の検知・対応が遅れたことが被害拡大の主因と考えられ、監視と即時対応の層を強化することが最も重要な改善ポイントだ。
日本への影響——デジタル庁とガバメントクラウド
この事件は、日本のデジタル行政にとっても他人事ではない。デジタル庁が推進する「ガバメントクラウド」は、まさに政府データをパブリッククラウドに集約する取り組みだからだ。
ガバメントクラウドの現状
日本のガバメントクラウドは2025年度末時点で、AWS、Google Cloud、Microsoft Azure、Oracle Cloud Infrastructure(OCI)の4社が認定プロバイダーとして選定されている。全国1,741の自治体が2025年度末までに基幹業務システムをガバメントクラウドへ移行する計画が進行中だ(ただし、一部自治体は移行期限の延長を要請している)。
欧州委員会事件から日本が学ぶべきこと
- 共有責任モデルの理解徹底: 自治体のIT担当者が「クラウド=安全」と誤解していないか。クラウドプロバイダーはインフラを守るが、データとアクセス管理は自治体の責任だ
- セキュリティ人材の確保: 自治体のクラウドセキュリティ専門人材は圧倒的に不足している。ISMAPの監査だけでなく、実際の運用セキュリティを担う人材育成が急務
- マルチクラウド戦略のリスク管理: 4社のクラウドを利用するということは、4つの異なるセキュリティモデルを理解し管理する必要がある。各プロバイダーのベストプラクティスが異なる中、統一的なセキュリティポリシーの策定が課題
- データ主権の議論: EUと同様、日本でも政府データを米国企業のクラウドに保存することの地政学的リスクが議論されるべきだ。2024年に「さくらインターネット」がガバメントクラウドの国産プロバイダーとして追加検討されたのは、この文脈で重要な動きだ
日本版GDPR(個人情報保護法)への影響
欧州委員会の侵害でGDPR違反が問われれば、EU域内でビジネスを展開する日本企業にも間接的な影響が及ぶ。GDPRの制裁金は全世界年間売上高の4%または2,000万ユーロのいずれか高い方が上限だ。日本の個人情報保護法も2024年改正で罰則が強化されており、同様の事態が日本で発生した場合の法的リスクは年々高まっている。
通信の安全を守るために
ShinyHuntersのような攻撃グループは、窃取した個人情報をフィッシングやソーシャルエンジニアリングに二次利用する。個人レベルでの防御策も重要だ。
- パスワード管理: 1Passwordのようなパスワードマネージャーで、サービスごとにユニークで強力なパスワードを生成・管理する。今回のような大規模侵害で流出した認証情報は、パスワードリスト攻撃に使われるため、使い回しは厳禁だ
- VPNの利用: NordVPNなどの信頼できるVPNサービスを利用し、公共Wi-Fiでの通信を暗号化する。侵害で流出したメタデータが通信傍受と組み合わされると、より深刻なプライバシー侵害につながる
- フィッシングへの警戒: 欧州委員会の職員データが流出したため、EU関連機関を騙ったフィッシングメールの増加が予想される。送信元アドレスの確認と、不審なリンクのクリックを避けることが基本だ
まとめ——今すぐ取るべきアクション
欧州委員会のAWS侵害は、「政府機関であってもクラウドセキュリティは万全ではない」という厳しい現実を突きつけた。ShinyHuntersの活動はますます活発化しており、TELUS Digital(1PB)に続く欧州委員会(350GB)への攻撃は、このグループが国家レベルの標的をも恐れないことを明確に示している。
組織と個人が今すぐ実行すべきアクションステップは以下の通りだ。
- IAM権限の総点検: 自組織のクラウド環境で過剰な権限が付与されていないか、今週中に棚卸しを開始する。AWS IAM Access AnalyzerやCloudTrailのログを活用して、使用されていない権限を特定・削除する
- 認証情報の緊急ローテーション: すべてのAPIキー、サービスアカウント、データベースパスワードを確認し、長期間ローテーションされていないものを即座に更新する。1Passwordのビジネスプランを導入し、組織全体の認証情報を一元管理するのも有効だ
- データ流出検知の実装: AWS Macie、GuardDuty、Security Hubを有効化し、機密データの分類と異常検知を自動化する。350GBの持ち出しを事後に知るのではなく、リアルタイムでアラートを受け取れる体制を構築する
- インシデント対応計画の見直し: 侵害が発生した場合の初動対応、エスカレーション経路、外部フォレンジック業者との連携手順を文書化し、四半期ごとに訓練を実施する。「侵害は起きるもの」という前提で計画を立てることが、被害を最小限に抑える鍵だ
政府機関のクラウド移行は不可逆的な流れだ。だからこそ、「クラウドに移行したから安全」ではなく、「クラウドだからこそ新たなセキュリティ対策が必要」という認識を組織全体で共有することが、次の350GBを防ぐ第一歩となる。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星