欧州連合(EU)の政策執行機関である欧州委員会(European Commission:EC)は、同委員会の公式ウェブサイト群(Europa.eu)をホストするクラウドインフラストラクチャに対するサイバー攻撃を確認したと発表しました。
これと並行して、悪名高いサイバー恐喝グループ「ShinyHunters(シャイニーハンターズ)」がダークウェブ上のリークサイトにて犯行声明を出し、350GB以上のデータを窃取したと主張しています。
【30秒でわかる本記事の概要】
欧州委員会のウェブサイト(Europa.eu)をホストするクラウドインフラ(AWS)がサイバー攻撃を受けた。
内部システムは無事であり、公開ウェブサイトもダウンすることなく稼働を続けている。
一方でハッカー集団「ShinyHunters」は、メールサーバーや機密文書などを含む「350GB以上」のデータを窃取したと主張している。
概要
欧州委員会は2026年3月27日、3月24日にサイバー攻撃を検知し、Europa.euプラットフォーム上の同委員会のWebプレゼンスをホストするクラウド基盤の一部が影響を受けたと公表しました。委員会は、インシデントは速やかに封じ込められ、EuropaのWebサイトの可用性は維持され、内部システムは影響を受けていないと説明しています。一方で、初期調査では、当該Webサイトからデータが取得されたことが示唆されており、全体の影響は引き続き調査中だとしています。
ShinyHuntersの犯行声明
これに対し、ShinyHuntersのダークウェブ上のリークサイトでは、European Commission *.europa.eu の名義で、350GB超の圧縮データを侵害したと主張し、メールサーバーのダンプ、データベース、機密文書、契約書などが含まれると記載されています。ただし、これは攻撃者側の主張であり、現時点で欧州委員会の公式発表はデータ種別や容量を認めていません。
ここで重要なのは、この種の犯行声明は、実際の侵害範囲を誇張している場合もあれば、一部の事実を含みつつ全体像を意図的に曖昧にしている場合もあることです。今回も、欧州委員会が公式に認めているのは、クラウド基盤の一部が攻撃を受け、初期調査でデータ取得の可能性が示唆されているという点までです。メールサーバーのダンプや契約書、350GB超という具体的主張は、現時点では攻撃者側の説明にとどまります。
ご提示いただいた「ShinyHunters」の戦術に関する2つの報道内容(ボイスフィッシングの手口やSalesforce設定不備の悪用)を追加し、欧州委員会(EC)のインシデントと結びつけた完全版の解説記事を作成しました。
ShinyHuntersが単なるシステムハッキングではなく「人間の脆弱性(ソーシャルエンジニアリング)」や「SaaSの設定ミス」を巧妙に突く集団であることを強調した構成にしています。CMSへそのまま入稿してご利用いただけます。
【記事タイトル】(※H1タグ) 【情報漏洩】欧州委員会(EC)がサイバー攻撃を公表、ハッカー集団「ShinyHunters」が350GB超のデータ窃取を主張
【メタディスクリプション】(※SEO設定欄・検索結果のスニペット用/120文字程度) 欧州委員会(EC)の公式ウェブサイトをホストするクラウドインフラがサイバー攻撃を受けました。サイバー犯罪グループ「ShinyHunters」は350GB以上のデータを窃取したと犯行声明を出しています。ECの公式リリースとハッカーの主張、そしてShinyHuntersの巧妙な戦術(ビッシングやSaaS設定不備の悪用)を解説します。
↓↓↓ ここから下を本文エリアに入稿してください ↓↓↓
欧州連合(EU)の政策執行機関である欧州委員会(European Commission:EC)は、同委員会の公式ウェブサイト群(Europa.eu)をホストするクラウドインフラストラクチャに対するサイバー攻撃を確認したと発表しました。
これと並行して、悪名高いサイバー恐喝グループ「ShinyHunters(シャイニーハンターズ)」がダークウェブ上のリークサイトにて犯行声明を出し、350GB以上のデータを窃取したと主張しています。
本記事では、欧州委員会の公式リリースと、ハッカーグループ「ShinyHunters」の最新の攻撃戦術(SaaSやクラウドを狙う手口)を総合し、本インシデントの全容と影響について解説します。
【30秒でわかる本記事の概要】
欧州委員会のウェブサイト(Europa.eu)をホストするクラウドインフラ(AWS)がサイバー攻撃を受けた。内部システムは無事であり、公開ウェブサイトも稼働を続けている。
一方でハッカー集団「ShinyHunters」は、メールサーバーや機密文書などを含む「350GB以上」のデータを窃取したと主張している。
ShinyHuntersは近年、電話口で従業員を騙す「ビッシング」や、Salesforce等の「SaaSの公開設定不備」を突いてクラウド環境へ侵入する手口を多用しており、警戒が必要である。
1. ShinyHuntersによる犯行声明(350GB超のデータ流出)
2026年3月28日、サイバー犯罪グループ「ShinyHunters」は自身のリークサイトに欧州委員会を標的とした犯行声明を投稿しました。
公開された犯行声明のスクリーンショットおよび脅威アクターの主張によると、以下の被害がアピールされています。
対象ドメイン: 欧州委員会の公式プラットフォームである *.europa.eu。
流出データ量: 非圧縮状態で350GB以上。すでにそのうちの90GBのアーカイブが公開されています。
窃取されたデータの内容: メールサーバーのデータダンプ、データベース、機密文書、契約書、その他多数の機密資料が含まれていると主張しています。
2. 欧州委員会(EC)の公式リリースと対応
この事態を受け、欧州委員会は2026年3月27日(金)に公式声明を発表し、サイバー攻撃を受けた事実を認めました。公式リリースおよび広報担当者の発表から判明している事実は以下の通りです。
クラウドインフラへの攻撃とシステムの稼働状況
攻撃の標的となったのは、Europa.euプラットフォームのウェブプレゼンスをホストするクラウドインフラ(Amazon Web Services)です。
攻撃を受けたものの、防御システムが悪意のある活動を即座に検知し、インシデントは封じ込められました。
サイトの可用性に影響はなく、公開向けのウェブサイトは継続して稼働しています。
最も懸念される**「欧州委員会の内部システム」については、今回のサイバー攻撃による影響は一切受けていない**と明言されています。
データの流出と被害範囲の調査
欧州委員会は現在も調査を継続中ですが、「初期調査の結果、これらのウェブサイトからデータが持ち出されたことが示唆されている」とデータ流出の事実を認めています。
一方で、同委員会の広報担当者は「流出した可能性があるのは、すでにパブリックドメイン(一般公開情報)となっているデータである可能性が高い」と述べ、影響は限定的であるとの見方を示しています。
脅威アクター「ShinyHunters」の概要と巧妙な戦術
今回の攻撃主体であるShinyHuntersは、システム自体の脆弱性(ゼロデイなど)よりも、「人間の心理」や「クラウドの設定ミス」を巧みに突いてデータを窃取することで知られるグループです。Google傘下のMandiantやセキュリティ各社の調査から、彼らの主な戦術が判明しています。
戦術1:電話で従業員を騙す「ボイスフィッシング:ビッシング(Voice Phishing)」
ShinyHuntersは、ターゲット企業のIT部門を装って従業員に直接電話をかける「ボイスフィッシング(ビッシング)」を起点とした攻撃を多用します。
「MFA(多要素認証)設定の更新が必要」といった口実で、本物そっくりに偽装した自社専用のSSO(シングルサインオン)ログインページへ従業員を誘導します。
そこで入力させたID・パスワードとMFAコードを奪い、攻撃者自身の端末を「新しいMFAデバイス」として不正登録します。
発覚を遅らせるため、MFA登録時に届くシステムからの通知メールを、Gmail等の検索・削除機能を悪用して消去する念の入れようです。
関連
SaaS(Salesforce等)の公開設定不備を自動スキャン
SSOの突破だけでなく、企業が利用するSaaSプラットフォームの設定ミスも彼らの標的です。
直近の攻撃キャンペーンでは、Salesforceの「Experience Cloud」サイトにおいて、顧客側が誤って「guest user」に過剰な権限を付与してしまっている環境を大規模にスキャンして狙っています。
オープンソースツール(Aura Inspector等)を改変して公開APIを自動特定し、大量の企業からデータを一括で窃取する手口が確認されています。
このように彼らは、一つの認証基盤(SSOなど)を突破した後、Microsoft 365、Salesforce、DocuSignなどの連携するクラウドサービスへ横展開し、ファイルや顧客情報を根こそぎ持ち出す機会主義的な動きを得意としています。
関連:ハッカー グループ、複数のSalesforce(セールフォース)利用企業へ不正アクセスし窃取した情報を公開
情報システム部門が注目すべきポイント
今回のリリースでまず注目すべきなのは、攻撃対象が内部システムではなく、公開Web基盤を支えるクラウドインフラだった点です。これは、表向きはサイトが落ちていなくても、背後のクラウド基盤でデータ取得が起き得ることを示しています。可用性が維持されていたことは安心材料ではありますが、同時に、障害が見えないまま情報窃取だけが進むシナリオもあり得るということです。
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.