どんなニュース?
2026年3月24日、欧州連合(EU)の最高執行機関である欧州委員会が利用するAmazon Web Services(AWS)のクラウドアカウントが侵害された。ハッカーは350GBを超えるデータを盗み取ったと主張し、証拠としてスクリーンショットをセキュリティメディア「BleepingComputer」に提供した。欧州委員会は3月27日に侵害を公式確認し、調査中と発表。対象はEuropa.euプラットフォーム(EU公式ウェブサイト群)をホストするクラウドインフラで、職員データやデータベースが含まれていると見られる。注目すべきはAWSの声明だ。「AWSのインフラ自体にセキュリティインシデントは発生していない。サービスは設計通りに機能した」——つまり、侵害されたのはAWSではなく、欧州委員会の「アカウント管理」である。
元記事・原文引用
元ネタ:European Commission investigating breach after Amazon cloud account hack(BleepingComputer / 2026年3月27日)
“They will not attempt to extort the Commission using the allegedly stolen data as leverage, but intend to leak the data online at a later date.”
なぜ今、話題になっているの?
この事件が衝撃的なのは、「EU最高機関が侵害された」という事実だけではない。構造的な問題が3つある。
① AWSの「責任共有モデル」が現実に試された
クラウドサービスには「責任共有モデル(Shared Responsibility Model)」という設計思想がある。AWSはインフラ(サーバー・ネットワーク)のセキュリティを保証するが、その上で何を動かし、誰にアクセスを与えるかはユーザー側の責任だ。AWSが「自社インフラは無事」と即座に声明を出したのは、まさにこの原則の表明である。欧州委員会のAWSアカウントへのアクセス認証情報が盗まれたか、設定ミスがあったということになる。
② 「クラウド移行=セキュリティ強化」という誤解の代償
多くの政府機関がオンプレミスからクラウドへ移行する際、「大手クラウドに任せれば安全」という認識が生まれやすい。しかし今回の事件が示すのは、クラウドプロバイダーがどれだけ堅牢でも、利用者側のアカウント管理・IAM設定・認証情報の扱いが甘ければ侵害は起きるという現実だ。
③ 「データを公開する」という新しい脅迫モデル
攻撃者は「身代金を要求しない、ただし後日データを公開する」と宣言した。これはランサムウェアの「暗号化→復元交渉」モデルとは異なる「晒し脅迫(Exposure-based Coercion)」型で、近年増加傾向にある攻撃手法だ。データを使って金銭を得るよりも、評判毀損・政治的ダメージを狙う目的が推測される。
EUではどう報じられているか
欧州のメディアは「技術的失態」と「政治的タイミング」の両面から報じている。
Bloomberg・BleepingComputer・TechCrunchなど英語圏のテック・金融メディアは一斉に速報した。論調は「AWSの問題ではなく欧州委員会側のアカウント管理の問題」と技術的な分析に徹するものが多い。AWSが即座に「自社は無事」と声明を出したことで、責任の所在が欧州委員会側にあるという見方が早い段階で固まった。
EU内部の文脈で特に注目されるのは「欧州クラウド主権(European Cloud Sovereignty)」との接続だ。EUはここ数年、欧州データをアメリカ系クラウド(AWS・Azure・GCP)に依存することへの懸念を強め、Gaia-Xなど欧州独自のクラウドインフラ構想を推進してきた。今回の侵害は、その議論に「緊急性」を与えるものとして受け取られており、「欧州史上最高レベルの政府機関クラウド侵害」と評する声もある。
また皮肉なことに、欧州委員会は2026年に入ってクラウドセキュリティを強化する新サイバーセキュリティ法(サイバーレジリエンス法2.0)を提案したばかりだ。「自分たちが規制を作ろうとしている矢先に、規制対象となるような事件を起こした」という批判も出ており、EU市民の間ではオンラインで皮肉を込めたコメントが広がっている。
まとめ
つまりこういうことだ——「クラウドを使うこと自体はセキュリティではない。クラウドの設定・管理こそがセキュリティである」。AWSの声明は、この原則を改めて世界に突きつけた。欧州委員会という世界最高水準のIT予算と人材を持つ組織でもこうした侵害が起きる以上、課題はクラウドを使うかどうかではなく「どう使うか」にある。日本でも政府機関のガバメントクラウド化(AWSが採用基盤の一つ)が加速する中、アカウント管理・IAM設定・認証情報の扱いに関する内部教育と監査体制の強化が急務だ。
