ShinyHunters、欧州評議会の人事システムから297GBを窃取

ShinyHunters、欧州評議会の人事システムから297GBを窃取

欧州評議会は、人権、民主主義、法の支配を推進する欧州の主要機関であるが、ランサムウェアグループ「ShinyHunters」による最新の著名な被害者となった。この侵害により、297GBもの機密性の高い人事・給与データが流出し、409,000件以上の給与明細書と14,000件以上の職員の履歴書が含まれ、事務局や人事局の職員に影響が及んでいる。ShinyHuntersによる欧州評議会のデータ侵害は、単なるサイバーセキュリティインシデントではない。市民の権利を守る責務を負う組織でさえ、自らの職員の個人記録を守れないことがあるという、痛烈な戒めなのである。

何が盗まれたのか：297GBの人事・給与情報侵害の内訳

ShinyHuntersの主張によれば、今回の侵害による収穫は膨大である。429,000件以上のファイルが侵害され、データは給与明細書、履歴書、雇用契約書、内部人事記録に及ぶ。給与明細書だけでも409,000件以上の文書があり、この侵害は評議会の現職および元職員のかなりの部分を網羅している可能性が高い。

このデータの機密性は、いくら強調してもしすぎることはない。給与明細書には通常、氏名、住所、国民識別番号、銀行口座詳細、給与情報、税務記録が含まれる。履歴書はさらに、学歴、推薦者情報、職歴の詳細といった別の露出層を追加する。これらの情報が組み合わさることで、サイバー犯罪者は標的型フィッシングキャンペーンを実施したり、なりすまし詐欺を働いたり、ダークウェブのマーケットプレイスで個人プロファイルを販売したりするために必要なすべてを手に入れることになる。

このような人事を標的とした攻撃はますます一般的になっている。南アフリカ統計局の人事システム侵害でも、攻撃者は顧客向けシステムではなく内部の人事インフラを狙い、職員記録を抜き出すという、驚くほど似たパターンをたどった。

なぜ欧州評議会はランサムウェアグループにとって価値の高い標的なのか

一見すると、人権に焦点を当てた政府間組織は、ランサムウェアの標的としては珍しいように思えるかもしれない。しかし実際には、極めて魅力的な標的である。欧州評議会はストラスブール本部と複数の現地事務所に数千人の職員を雇用しており、その人事データベースには個人記録が密集している。組織の威信もランサムウェアグループが利用できる圧力を高める。すなわち、市民の権利とデータ保護を任務に含む組織にとって、侵害による風評被害はより大きいからだ。

ShinyHuntersは、身代金支払いの圧力を最大化するために、知名度の高い大規模組織を標的とするパターンがよく知られている。今年初め、同グループはオランダの通信事業者Odidoに対して公開の最後通牒を突きつけた。800万人の顧客に影響するOdidoのデータ侵害の詳細な報道にあるように、ShinyHuntersは身代金が支払われなければ盗んだ顧客データを公開すると脅し、公開開示を圧力の道具として使う姿勢を示した。今回も同じ手口が使われているようだ。

欧州評議会の侵害は、ShinyHuntersが以前主張していた欧州委員会のクラウドインフラへの攻撃にも続くものだ。その攻撃ではEuropa.euプラットフォームから350GB以上のデータが関与したと報じられている。これらの事件を総合すると、同グループは2025年から2026年にかけて、欧州の機関を意図的に活動の焦点にしていることが示唆される。

プライバシー監視機関が個人データを守れないという皮肉

欧州評議会は、欧州人権条約を所管し、加盟国がデータ保護とデジタルプライバシーを統治するために用いる枠組みを監督する機関である。言い換えれば、個人データの取り扱いと保護の基準を定める機関である。その機関がこれほど大規模な侵害を受けるという皮肉は、無視しがたいものがある。

これは孤立した矛盾ではない。大規模な組織はしばしば、複雑でレガシーなITインフラ、多数のベンダーとの関係、数十の相互接続されたシステムに分散した職員データを抱えている。そうした構造的現実は、プライバシーに対する組織の公約がどれほど強固であろうとも、管理が本当に困難な攻撃対象領域を作り出す。今回の侵害は、優れた政策意図が自動的に優れた運用セキュリティに結びつくわけではないことを示している。

影響を受けた職員にとって、その影響は即時的かつ個人的なものである。429,000件以上のファイルに自分の給与明細書や履歴書が含まれていた者は皆、今や自身の財務詳細や身分証明書の露出の可能性に直面している。Iliad Italiaの顧客データがダークウェブで販売された事例のように、組織の人事データのダークウェブでの販売は侵害後すぐに行われる傾向があり、犯罪者に盗まれた記録の既成市場を提供している。

組織が不十分な場合、個人が自衛する方法

雇用主や組織が侵害された場合、影響を受けた個人は何が盗まれたかについてほとんど制御できない。しかし、さらなる露出を制限するために取れる具体的な措置がある。

• 金融口座を注意深く監視する。 給与明細書から露出した銀行詳細は、直接詐欺に使用される可能性がある。異常な取引のアラートを設定し、信用照会の一時的な凍結があなたの管轄区域で適切かどうかを検討する。
• 標的型フィッシングに警戒する。 あなたの履歴書と給与明細書を手に入れた攻撃者は、あなたの雇用主、給与帯、役職を知っている。その文脈を利用して、非常に説得力のあるなりすましメールを作成できる。たとえ同僚や人事部からのように見えても、行動や資格情報を要求する予期しないメッセージには、特に懐疑的に対処する。
• 公共および共有ネットワークではVPNを使用する。 VPNはサーバー側の侵害を防ぐものではないが、雇用主のポータルや機密アカウントにリモートでアクセスする際の通信を傍受から保護し、資格情報窃取の経路を一つ減らす。
• 自分のデータが侵害データベースに現れていないか確認する。 既知の侵害データセットを監視するサービスは、あなたのメールアドレスや他の識別子が新たに公開されたデータセットに現れた場合に警告を発することができる。
• 雇用主に明確な情報を求める。 あなたが欧州評議会の職員または契約者であるならば、どの記録が影響を受けたのか、どのような是正措置が提供されているのかについて、具体的なコミュニケーションを求める。

このような組織的侵害は、自分の記録を保持する組織がそれらを保護できなかった場合にこそ、個人データ衛生が最も重要になることを思い出させてくれる。自分の露出状況を見直し、アカウントを安全に保ち、ソーシャルエンジニアリングに警戒を怠らないことは、オプションの追加対策ではない。自分で犯罪者に渡したわけではないデータが彼らの手に渡ってしまった場合の、基本的な対応策なのである。

ShinyHuntersによる欧州機関への攻撃のエスカレーションは、このグループが勢いを緩めていないことを示唆している。情報を入手し、自らのデジタルセキュリティに積極的な措置を講じることが、巻き添えになった個人が取れる最も効果的な対応である。