欧州委員会、Europa.euへの不正アクセスでデータ漏洩を公式確認――ShinyHuntersが350GB超の窃取を主張

欧州委員会がデータ漏洩を公式確認

EU（欧州連合）の行政執行機関である欧州委員会（European Commission）は、公式Webプラットフォーム「Europa.eu」へのサイバー攻撃によるデータ漏洩を正式に認めた。攻撃の犯行声明を出しているのは、データ恐喝グループとして知られる「ShinyHunters」だ。

攻撃の概要

セキュリティメディア「BleepingComputer」が最初に報道したところによると、今回の侵害はEuropa.euに関連する少なくとも1つのAWS（Amazon Web Services）アカウントに影響を与えた。

ShinyHuntersは、アクセスがブロックされる前に350GB超のデータを窃取したと主張。窃取したデータには複数のデータベースが含まれるという。また同グループはダークウェブ上のリークサイトにて、「メールサーバーのデータダンプ、各種データベース、機密文書、契約書、その他多数の機密情報」を入手したと主張し、クラウド環境から窃取したとされる約90GB超のファイルアーカイブを公開している。

欧州委員会の職員データへのアクセスを証明するスクリーンショットも提示されているが、AWSアカウントへの侵入経路についてShinyHuntersは明らかにしていない。

欧州委員会の公式見解

欧州委員会は公式プレスリリースで以下のように述べた。

「現在進行中の調査の初期所見では、これらのWebサイトからデータが持ち出されたことが示唆されています。委員会は、インシデントによる影響を受けた可能性のあるEU機関への通知を適切に行っています。内部システムはサイバー攻撃の影響を受けておらず、引き続き状況を監視し、内部システムとデータのセキュリティ確保に必要なすべての措置を講じてまいります。」 Europa.eu各サイトのサービス自体には影響がなく、職員による封じ込め措置も実施済みとのことだ。

ShinyHuntersの最近の動向

ShinyHuntersは近年、活発なサイバー犯罪活動で知られるグループだ。直近では以下の組織への侵害も主張している。

• Infinite Campus（教育プラットフォーム）
• CarGurus（中古車情報サービス）
• Canada Goose（アパレルブランド）
• Panera Bread（飲食チェーン）
• SoundCloud（音楽ストリーミング）
• Match Group（Tinder、Hinge、OkCupidなどを傘下に持つ交際アプリ大手）

これらの被害組織の一部は、OktaやMicrosoft、GoogleのSSO（シングルサインオン）アカウントを狙った大規模なボイスフィッシング（Vishing）攻撃によるもので、100以上の著名組織が標的となったキャンペーンとの関連も指摘されている。

相次ぐEUのセキュリティインシデント

欧州委員会にとって、今回は今年2度目のデータ漏洩開示となる。2月には職員のモバイルデバイスを管理するMDM（モバイルデバイス管理）プラットフォームがハッキング被害を受けたことを公表したばかりだ。

EUは現在、国家支援型攻撃者やサイバー犯罪グループから重要インフラを守るための新たなサイバーセキュリティ立法の策定を進めており、こうした相次ぐ侵害はその取り組みに一層の切迫感をもたらしている。

日本国内でも政府機関や自治体のクラウド環境を狙ったサイバー攻撃が増加傾向にある。AWSなどパブリッククラウドのアカウント管理強化と、SSO連携における多要素認証（MFA）の徹底が改めて求められる事例といえるだろう。

元記事: European Commission confirms data breach after Europa.eu hack