リード

EUの最高行政機関である欧州委員会のAWSクラウド環境が、2026年3月10日に侵害された。攻撃を担ったのは「TeamPCP」と呼ばれる脅威グループ。被害はEU機関71クライアントに及び、メールアドレス・氏名・メール本文を含む約90GBのデータが闇ウェブに流出している。CERT-EU(EUサイバーセキュリティサービス)が4月3日に詳細を公表した。

この事件は単なる「大手機関のクラウド侵害」ではない。サプライチェーン攻撃 → クレデンシャル窃取 → クラウド横展開という攻撃チェーンの教科書的な実例であり、日本のIT現場にも直接刺さる話だ。

攻撃の経緯——Trivyが起点だった

攻撃の起点はDevSecOpsツールとして広く使われているコンテナ脆弱性スキャナー「Trivy」のサプライチェーン攻撃だ。TeamPCPはTrivyへの不正コード混入を通じて、欧州委員会のAWSアカウントに対する管理権限を持つAPIキーを事前に入手していた。

3月10日、このAPIキーを使って欧州委員会のAWSクラウド環境に侵入。その後、オープンソースのシークレットスキャンツール「TruffleHog」を使って環境内に残存するさらなる認証情報を探索し、既存ユーザーに新規アクセスキーをアタッチすることで検出回避を図った。

さらに巧妙なのが、この侵入が5日間検知されなかった点だ。欧州委員会のCybersecurity Operations Centerは、APIの不正利用も、アカウント侵害の兆候も、異常なネットワークトラフィックも、3月24日まで気づかなかった。侵入から一週間近くが経過してからの検知だ。

流出データの規模

CERT-EUの分析によると、盗まれたデータは以下の通り:

  • 対象クライアント数: 欧州委員会内部42クライアント+EU他機関29以上、合計71クライアント
  • 流出ファイル数: 数万件(個人情報含む)
  • メール関連ファイル: 51,992件(合計2.22GB)
  • ダークウェブ公開: ShinyHuntersグループが90GBアーカイブ(非圧縮340GB)として公開済み

メール関連ファイルの多くは自動通知メールとのことだが、「バウンスバック通知」にはユーザーが送信した元のメッセージ内容が含まれる場合があり、個人情報漏洩リスクが残る。

なお、Webサイトの改ざんや他のAWSアカウントへの横展開は確認されていない。

実務への影響——日本のIT管理者が今すぐ確認すべきこと

1. TrivyなどのDevSecOpsツールはバージョン固定で使っているか

サプライチェーン攻撃の怖さは、信頼しているツールが凶器になる点だ。CIパイプラインで使うスキャナーやCLIツールのバージョンを固定し、ハッシュ検証を行う運用が必要。「最新版を自動取得」はもはや安全ではない。

2. AWSのIAMキー管理を見直せ

今回の攻撃はAWS APIキーの奪取から始まった。IAMポリシーの「最小権限の原則」は当然として、長期有効なアクセスキーの存在そのものがリスクだ。IAMロール+一時的なクレデンシャル(STS)への移行、使われていないキーの即時削除、アクセスキーのローテーション自動化を今すぐ実施すること。

3. TruffleHogは攻撃者も使う——先に自分でスキャンしろ

皮肉な話だが、TruffleHogは防御側が「リポジトリにシークレットが埋まっていないか」を確認するためのツールでもある。攻撃者に先んじて自分の環境をスキャンし、漏洩したシークレットを先に無効化する運用を入れるべきだ。

4. 検知の遅れをどう縮めるか

5日間気づかなかったのはEUの機関でも起きうる現実だ。SIEM・CSPM(Cloud Security Posture Management)の導入と、異常なIAM操作へのアラート設定が基本中の基本。「CloudTrailは入れてる」だけでなく、アラートが実際に飛ぶ設定になっているかを今日確認してほしい。

筆者の見解

正直に言う。セキュリティは好きじゃない。細かい人が多いし、議論が不毛になりがちだ。でも今回の件は技術的に非常に興味深いし、見逃せない教訓がある。

まず、Trivyというれっきとしたセキュリティツールがサプライチェーン攻撃の入口になったという皮肉。セキュリティを強化しようとしてセキュリティ侵害される——これは「禁止アプローチ」の限界そのものだ。ツールを禁止するより、ツールを安全に使える仕組み(バージョン固定・ハッシュ検証・SBOM管理)を作ることが正解だ。禁止は必ず失敗する。

そして「5日間検知されなかった」という点。欧州委員会レベルの組織でこれが起きる。日本の大手エンタープライズの多くは、もっとひどいことになっているはずだ。「今動いているから大丈夫」は通用しない——これは過去にも何度も言ってきたが、今回はEUレベルの実例が出た。言い訳できなくなった。

IAMキー管理についても一言。「常時有効なAPIキーを発行してどこかに置いておく」という運用は、ゼロトラストの観点から言えば論外だ。Just-In-Timeアクセス、一時クレデンシャル、IAMロール——これらは「難しいからいずれやる」ではなく、今すぐやるべきことのリストの一番上に置くべきだ。

TeamPCPはGitHub・PyPI・NPM・Dockerと幅広いプラットフォームを標的にしているサプライチェーン攻撃の常習犯だ。今回の欧州委員会への侵入で終わりではなく、次のターゲットがどこかにいる。自分の組織が「よりリッチな標的」になっていないか、CIパイプラインの棚卸しを今すぐやってほしい。

出典: この記事は CERT-EU: European Commission hack exposes data of 30 EU entities の内容をもとに、筆者の見解を加えて独自に執筆したものです。