欧州委員会は、攻撃者が公開向けウェブインフラに侵入してデータを流出させたことを認めており、この簡潔な開示では何が起きたかは述べられているが、ほぼすべてのどのようにしてが回避されている。
侵入は3月24日に発見され、委員会のEuropaウェブサイトをホストするクラウドシステムを標的にした。Europaウェブサイトは、政策ページから公開情報まで、あらゆるものの入口である。関係者は事態を迅速に収束させたと述べており、サイトはオンラインのままだったため、誰かがバックエンドを調べている間、明らかな障害は発生しなかったという。
その誰かが実際に何を得たかは別問題である。委員会はデータが流出した可能性があると述べているが、それ以上は述べていない。どのような種類のデータが奪取されたか、その量はどのくらいか、または誰が影響を受ける可能性があるかについて詳細は示されていない。また、初期アクセス、攻撃者がアクセスを保有していた期間、または責任を持つ可能性のある者についても述べられていない。
“進行中の調査の初期調査結果は、これらのウェブサイトからデータが取られたことを示唆している”と、委員会は述べた。”委員会は、事態の影響を受ける可能性のある欧州連合の対象企業に適切に通知している。委員会のサービスは、事態の完全な影響を引き続き調査している。”
侵害の透明性をしばしば強調する機関にしては、かなり限定的な声明である。欧州委員会はThe Registerの質問に応じなかった。
委員会があまり詳しく述べていない一方で、報告書は、脅威アクターが委員会のAWSクラウド環境にアクセスして350GB以上のデータを流出させた可能性があると主張している。
委員会が強調することに力を入れている点は、少なくとも現時点で知られている限りでは、内部システムは影響を受けなかったということである。その評価が正確であれば、公開ウェブサービスとコアネットワーク間の適切な分離が示唆されており、攻撃者が一度内部に入った場合に到達できる範囲を制限している。
それでも、これは委員会の立て続けの2番目のセキュリティ上の問題である。先月、ブリュッセルは委員会発行の携帯電話が侵害されたことを認めており、この侵入は「何人かの従業員のスタッフの名前と携帯電話番号へのアクセスをもたらした可能性がある」とされている。
委員会のわずかな声明は、ヨーロッパが直面している絶え間ないサイバー圧力についての常套句に頼っており、NIS2およびその他のイニシアティブへの言及を含んでいる。それは事実かもしれないが、これがどのように起きたのか、またはなぜこれについてこれほど詳細が少ないのかを説明していない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/30/european_commission_breach/
