セキュリティ14分で読める

TELUS Digital から1PBのデータ流出——ShinyHuntersがGCP認証情報を起点に大規模侵入

セキュリティサイバー攻撃Google Cloudデータ保護
加木谷 直俊ソース記事を見る

約1ペタバイト(1,000テラバイト)——これはNetflixの全ライブラリの約2倍に相当するデータ量だ。カナダの大手通信企業TELUSのデジタル部門「TELUS Digital」が、ランサムウェアグループ「ShinyHunters」による大規模サイバー攻撃を受け、ほぼ1PBにおよぶデータが窃取されたことを2026年3月に確認した。攻撃者は**$65M(約97.5億円)** の身代金を要求したが、TELUSはこれを拒否。流出したデータには、FBI身元調査書類、ソースコード、金融情報、顧客通話録音など極めて機密性の高い情報が含まれている。

BPO(ビジネスプロセスアウトソーシング)大手としてグローバル企業のカスタマーサポートやデータ処理を請け負うTELUS Digitalの侵害は、委託元企業にも甚大な影響を及ぼしうる。本記事では、攻撃の経緯と手法、流出データの詳細、そして日本企業が取るべき防御策を解説する。

攻撃の経緯

TELUS Digitalは2026年3月11日から12日にかけて、社内システムへの不正アクセスを検知した。同社はただちにインシデント対応チームを立ち上げ、外部のフォレンジック専門家と法執行機関に通報している。

時系列を整理すると以下のようになる。

  • 2026年3月11日: 社内システムで異常なデータアクセスパターンを検知
  • 2026年3月12日: 不正アクセスの確認、インシデント対応を開始
  • 2026年3月中旬: ShinyHuntersがダークウェブ上で犯行を主張、約1PBのデータを窃取したと発表
  • 身代金要求: $65M(約97.5億円)の支払いを要求 → TELUSは拒否
  • 現在: フォレンジック調査が継続中、影響範囲の特定を進めている

注目すべきは、攻撃の初期段階でTELUSが検知に成功しながらも、すでに大量のデータが持ち出された後だったという点だ。これは、攻撃者が極めて効率的にデータを収集・転送する手法を用いていたことを示唆している。

ShinyHuntersの攻撃手法

今回の攻撃で最も注目すべきは、ShinyHuntersが使用した巧妙な侵入経路だ。従来のフィッシングやゼロデイ脆弱性の悪用ではなく、既存のデータから認証情報を掘り起こす「クレデンシャルハーベスティング」 を軸にした手法が用いられた。

Step 1: Driftデータからの認証情報発見

攻撃者はまず、TELUS Digitalが使用していたカスタマーエンゲージメントプラットフォーム「Drift」のデータにアクセスした。このデータの中に、Google Cloud Platform(GCP)のサービスアカウント認証情報がハードコードされた状態で残っていた。チャットボットの設定ファイルや連携スクリプトに認証情報が埋め込まれていた可能性が高い。

Step 2: BigQueryへの侵入

Driftデータから取得したGCP認証情報を使い、ShinyHuntersはTELUS DigitalのBigQuery環境に直接アクセスした。BigQueryは大規模データ分析基盤であり、顧客データ、業務データ、ログなど膨大な情報が集約されている。攻撃者にとっては「宝の山」だったはずだ。

Step 3: trufflehogによる追加認証情報の探索

ここからが今回の攻撃の核心的な手口だ。攻撃者はBigQuery内のデータに対して、オープンソースのシークレット検出ツール「trufflehog」を実行した。trufflehogは本来、セキュリティ監査のためにソースコードやデータ内のAPIキー・パスワード・トークンなどを検出するツールだが、攻撃者はこれを逆手に取り、TELUS Digital環境内のあらゆる認証情報を自動的に収集した。

Step 4-5: ラテラルムーブメントと大規模データ窃取

trufflehogで発見した追加の認証情報を使い、攻撃者はBigQueryから他のシステムへと横展開(ラテラルムーブメント)した。Salesforce、社内ファイルサーバー、通話録音システム、ソースコードリポジトリなど、次々と侵入先を広げ、最終的に約1PBのデータを持ち出した。

この図は、ShinyHuntersがDriftデータからGCP認証情報を発見し、BigQuery、trufflehog、ラテラルムーブメントを経て1PBのデータを窃取するまでの攻撃チェーン全体を示しています。

ShinyHuntersの攻撃チェーン — Driftデータ内のGCP認証情報を起点にBigQuery侵入、trufflehogで追加認証情報を探索し、ラテラルムーブメントで1PBを窃取するまでの全体像

この手法が恐ろしいのは、正規の認証情報を使ってアクセスしているため、従来のファイアウォールや侵入検知システムでは検出が困難だという点だ。攻撃者は「正規ユーザー」として振る舞い、通常の業務アクセスと区別がつきにくい形でデータを収集していた。

流出データの内容

ShinyHuntersが窃取したとされるデータは、以下の通り極めて広範にわたる。

データ種別内容リスクレベル
FBI身元調査書類従業員のバックグラウンドチェック記録極めて高い
ソースコード社内システム・顧客向けアプリケーションのコード高い
金融情報取引記録、請求データ、財務レポート高い
Salesforceデータ顧客CRM情報、商談記録、連絡先高い
通話録音カスタマーサポートの音声データ高い
通話記録発着信履歴、通話メタデータ中〜高
BPO顧客データ委託元企業の顧客個人情報極めて高い

特に深刻なのはBPO顧客データの流出だ。TELUS Digitalはグローバル企業のカスタマーサポートを代行しており、委託元企業の顧客情報を大量に保有している。つまり、TELUS Digitalの侵害は、同社のクライアント企業すべてのデータ侵害に連鎖する可能性がある。

FBI身元調査書類の流出も異例だ。これらの書類には社会保障番号、犯罪歴、信用情報、家族構成など極めてセンシティブな個人情報が含まれており、IDセフトやソーシャルエンジニアリング攻撃に悪用されるリスクが極めて高い。

TELUSの対応

TELUS Digitalは侵害の確認後、以下の対応を取っている。

  1. 身代金の拒否: ShinyHuntersの$65M(約97.5億円)の要求を拒否。セキュリティ専門家の間では、身代金を支払ってもデータが削除される保証はないとのコンセンサスがあり、この判断は妥当とされている
  2. フォレンジック専門家の招聘: 外部のサイバーセキュリティ企業と契約し、攻撃の全容解明を進めている
  3. 法執行機関への通報: カナダの法執行機関および関連する規制当局に通報済み
  4. 影響範囲の特定: どの顧客データが具体的に影響を受けたか、詳細な調査を継続中

ただし、1PBという膨大なデータ量を考えると、影響範囲の完全な特定には数か月を要する可能性がある。また、ShinyHuntersがデータをダークウェブ上で公開・販売する可能性も残されている。

2025-2026年 主要データ侵害との比較

TELUS Digitalの1PBという流出規模は、近年の主要なデータ侵害と比較しても突出している。

事件名時期流出規模攻撃グループ身代金
TELUS Digital2026年3月~1PB (1,000TB)ShinyHunters$65M(拒否)
MOVEit侵害2023年~250TBCl0p不明
T-Mobile2023年~100TB不明非公開
Optus2022年~50TB個人ハッカー$1M(拒否)
Medibank2022年~20TBREvil系$10M(拒否)

この図は、TELUS Digitalの1PBの流出が他の主要データ侵害と比較してどれほど突出した規模であるかを視覚的に示しています。

2025-2026年の主要データ侵害における流出データ量比較 — TELUS Digitalの1PBは過去最大級で、2位のMOVEit(250TB)の4倍の規模

TELUS Digitalの流出量は、2023年のMOVEit侵害(約250TB)の約4倍であり、単一組織からの窃取量としては過去最大級と見られている。

日本企業への教訓

TELUS Digitalの侵害から、日本企業が学ぶべき教訓は多い。

1. 認証情報の管理を徹底する

今回の攻撃の起点は、Driftデータ内にハードコードされていたGCP認証情報だった。日本企業でも、チャットツールやSaaSプラットフォームの連携設定にAPIキーやサービスアカウント情報を直接書き込んでいるケースは少なくない。

対策:

  • シークレット管理ツール(GCP Secret Manager、AWS Secrets Manager、HashiCorp Vault)を必ず利用する
  • 1Passwordなどのパスワードマネージャーでチームの認証情報を一元管理する
  • 定期的にtrufflehogを自社で実行し、リポジトリやデータ内の認証情報漏洩をチェックする
  • サービスアカウントには最小権限の原則を徹底する

2. BPO委託先のセキュリティリスクを再評価する

日本企業の多くは、コールセンターやデータ入力業務を海外BPO企業に委託している。TELUS Digitalのような大手BPO企業でさえ大規模な侵害を受ける現実を踏まえ、委託先のセキュリティ態勢を定期的に監査する必要がある。

対策:

  • BPO契約にセキュリティ監査条項を明記する
  • 委託先に提供するデータを必要最小限に制限する
  • データの暗号化を委託先に義務付ける
  • インシデント発生時の通報体制と対応フローを事前に合意する

3. ラテラルムーブメント対策

ShinyHuntersは一つの認証情報から次々と権限を拡大した。これを防ぐには、ゼロトラストアーキテクチャの導入が有効だ。

対策:

  • ネットワークセグメンテーションでシステム間の通信を制限する
  • NordVPNなどのVPNを活用し、リモートアクセスのセキュリティを強化する
  • 異常なデータアクセスパターンを検知するSIEM/SOARの導入を検討する
  • 多要素認証(MFA)をすべてのシステムに適用する

4. データ量の監視とDLP

1PBものデータが持ち出されるには、相応の時間とネットワーク帯域が必要だ。データ損失防止(DLP)ソリューションを導入し、大量データの外部転送を検知・ブロックする仕組みが不可欠だ。

対策:

  • Google CloudのDLP APIやCloud Armorを活用してデータ流出を監視する
  • データの持ち出し上限を設定し、閾値を超えたらアラートを発報する
  • 特権アカウントのアクセスログを24時間監視する

まとめ

TELUS Digitalの1PB流出事件は、認証情報管理の甘さが壊滅的な被害につながることを改めて示した。攻撃者はゼロデイ脆弱性でも高度なマルウェアでもなく、データ内に残されていたGCP認証情報という「見落とし」を起点に、わずか数ステップで1PBのデータを窃取した。

日本企業が今すぐ取るべきアクションは以下の3つだ。

  1. 自社のリポジトリとデータストアに対してtrufflehogを実行し、漏洩している認証情報がないか即座にチェックする。無料のオープンソースツールなので、今日からでも始められる
  2. BPO委託先のセキュリティ監査を実施する。委託先が保有する自社データの範囲と保護状態を改めて確認し、契約に監査条項を追加する
  3. ゼロトラストアーキテクチャの導入を加速する。ネットワークセグメンテーション、最小権限アクセス、MFA必須化の3点を優先的に進める

サイバー攻撃者は常に「最も弱いリンク」を狙う。認証情報の管理という基本中の基本が、1PBの大惨事を防ぐ鍵だったのだ。

この記事をシェア

XはてブLinkedIn

セキュリティ」カテゴリの記事

セキュリティ」の記事をもっと見る

関連記事

新着記事