大規模データ侵害の概要#
欧州連合(EU)のサイバーセキュリティ機関CERT-EUは4月3日、EU執行機関である欧州委員会に対する大規模なハッキング攻撃とデータ侵害について報告を発表しました。この攻撃は、TeamPCPとして知られるサイバー犯罪グループによって実行されたとしています。
攻撃の詳細と被害規模#
CERT-EUの新しい報告書によると、ハッカーたちは欧州委員会が使用するAmazon Web Services(AWS)アカウントから約92ギガバイトの圧縮データを盗み出しました。盗まれたデータには、個人の氏名、電子メールアドレス、電子メールの内容などの個人情報が含まれています。
この侵害は、加盟国がEU機関や機関のウェブサイトや出版物をホスティングするために使用する欧州委員会のEuropa.euプラットフォームのクラウドインフラストラクチャに影響を与えました。
CERT-EUは、少なくとも29の他のEU機関のデータが影響を受ける可能性があり、数十の欧州委員会内部クライアントもデータを盗まれた可能性があると記載しています。
複数のハッカー集団の関与#
注目すべき点は、この事件に2つの別々のハッカー集団が関与していることです。盗まれたデータは、その後悪名高いShinyHuntersという別のハッカーグループによってオンラインに投稿されました。
ShinyHuntersのメンバーは、TechCrunchとのオンラインチャットで、TeamPCPが以前の攻撃で取得したデータの一部を盗み、それをリークしたと述べています。
攻撃の経緯と手法#
CERT-EUによると、この侵害は3月19日に始まりました。ハッカーたちは、オープンソースセキュリティツールTrivyを標的とした以前のハッキングに続いて、欧州委員会のAWSアカウントに関連する秘密APIキーを取得しました。
欧州委員会は、Trivyプロジェクトの最近の侵害後、気づかずに侵害されたTrivyツールのコピーをダウンロードしてしまいました。これにより、ハッカーたちは秘密APIキーを盗み、そのアクセス権を使用して欧州委員会のAWSアカウントに保存されているデータを取得することができました。
盗まれたデータの内容#
サイバー機関は、オンラインに公開されたデータの分析を継続中としていますが、現在までに約52,000のファイルが送信された電子メールメッセージを含んでいることを確認しています。
これらの電子メールの大部分は、内容がほとんどまたは全くない自動化されたメールですが、エラーで返送された電子メールには「元のユーザー送信コンテンツが含まれている可能性があり、個人データ露出のリスクを生じる」とCERT-EUは述べています。
TeamPCPの活動背景#
Trivyを開発するAqua Securityによると、TeamPCPは過去にランサムウェア攻撃や暗号通貨マイニングキャンペーンに関与してきました。Palo Alto Networks Unit 42の報告によると、このハッカーグループは最近、他のオープンソースセキュリティプロジェクトを侵害する体系的なサプライチェーン攻撃キャンペーンを展開しています。
Unit 42は、機密システムへのアクセスキーを持つ開発者を標的とすることで、ハッカーたちが「侵害された組織を人質に取り、恐喝金を要求する能力を持つ」と説明しています。
対応状況#
CERT-EUは、影響を受けた組織との連絡を既に取っているとしています。欧州委員会の広報担当者は、同機関が来週まで閉鎖されており、その後にコメント要請に応答すると述べました。
筆者の見解: この事件は、サプライチェーン攻撃の深刻さと、オープンソースツールのセキュリティの重要性を浮き彫りにしています。また、複数のハッカー集団が関与する現代のサイバー犯罪の複雑性も示しています。組織は、使用するすべてのソフトウェアコンポーネントのセキュリティ状況を継続的に監視し、セキュリティインシデントへの迅速な対応体制を整備する必要があります。
出典: Europe’s cyber agency blames hacking gangs for massive data breach and leak
