### 侵害の詳細 欧州委員会は、BleepingComputerからの問い合わせを受け、3月27日にデータ侵害の事実を公に認めました。このインシデントは、委員会のAmazon Web Services (AWS) クラウド環境の侵害に端を発しています。CERT-EUは3月24日、最初の侵害から5日後に侵入の通知を受け、悪意のある活動の検知に遅延があったことが浮き彫りになりました。 ### 攻撃ベクトル：盗まれたAWS認証情報 3月19日、TeamPCPは侵害されたAWS APIキーを悪用し、他の欧州委員会のAWSアカウントに対する管理権限を取得しました。このAPIキーは、Trivyサプライチェーン攻撃中に盗まれたものでした。攻撃者はその後、クラウド認証情報をスキャンおよび検証するために設計されたツールであるTruffleHogを使用して、追加の秘密情報を発見しました。検知を回避するため、既存のユーザーアカウントに新しく作成されたアクセスキーをアタッチしてから、偵察とデータ窃盗を進めました。 ### TeamPCPの犯行手口 TeamPCPは、GitHub、PyPi、NPM、Dockerなどの開発者コードプラットフォームを標的としたサプライチェーン攻撃を組織してきた実績があります。同グループは、LiteLLM PyPIパッケージの侵害にも関与しており、「TeamPCP Cloud Stealer」という情報窃盗型マルウェアを展開し、数万台のデバイスに影響を与えました。 ### データ漏洩と影響 3月28日、データ恐喝グループShinyHuntersは、ダークウェブのリークサイトに盗まれたデータを公開しました。合計90GB（非圧縮で340GB）のアーカイブには、氏名、メールアドレス、メールの内容が含まれていました。 CERT-EUの分析では、個人情報、ユーザー名、メールの内容を含む数万件のファイルが盗まれたことが確認されました。この侵害は、欧州委員会の42の内部クライアントと、europa.euウェブホスティングサービスを使用している少なくとも29の他のEU機関に影響を与える可能性があります。  「攻撃者は侵害されたAWSシークレットを使用して、影響を受けたクラウド環境からデータを窃取しました。窃取されたデータは、Europaウェブホスティングサービスの最大71のクライアントのためにホストされていたウェブサイトに関連するもので、欧州委員会の42の内部クライアントと、少なくとも29の他のEU機関が含まれます」とCERT-EUは述べています。 漏洩したデータセットには、主に欧州委員会のウェブサイトからの氏名、ユーザー名、メールアドレスなどの個人データが含まれていますが、複数のEU機関のユーザーに関連する可能性もあります。また、送信されたメール通信に関連する少なくとも51,992件のファイル（合計2.22 GB）も含まれています。これらの大半は自動通知ですが、「バウンスバック」通知にはユーザーが送信したコンテンツが含まれている可能性があり、個人情報漏洩のリスクがあります。 CERT-EUは、ウェブサイトがオフラインになったり改ざんされたりした形跡はなく、他の委員会のAWSアカウントへのラテラルムーブメントも検出されなかったことを確認しました。 欧州委員会は、関連するデータ保護当局に通知しており、影響を受けた機関と直接連絡を取っています。窃取されたデータの分析は進行中であり、かなりの時間を要すると予想されています。 このインシデントは、2月に欧州委員会が公表した、職員のデバイスを管理するために使用されていたモバイルデバイス管理プラットフォームの侵害を伴う、以前のデータ侵害に続くものです。