350GBが消えた8日間——欧州委員会が認めた「説明不十分」な侵害

2026年3月24日、欧州委員会(European Commission)のクラウドシステムに侵入者が入り込み、公式ウェブサイト群をホストしていたアマゾン・ウェブ・サービス(AWS)の環境から350ギガバイト超のデータが持ち出された疑いがあることが明らかになった。委員会が侵害を公式に認めたのは3月30日——発覚から6日後だ。

公表内容には「何のデータが」「誰が」「どんな手法で」という最も重要な問いへの回答がなく、委員会は「調査中」の一言で締めた。唯一明かされたのは「早期調査の結果、データが持ち出された可能性がある」という一文だけだ。サイバーセキュリティの透明性を加盟国に義務付けているEUの執行機関が、自らの侵害については最小限の開示にとどめたことは、欧州の専門家から批判を受けた。

元記事・原文引用

元ネタEuropean Commission admits breach of public web systems(The Register / 2026年3月30日)

“Early findings of our ongoing investigation suggest that data have been taken from those websites.”

2月モバイル→3月クラウド——2連続侵害が示す「標的国家機関」の新常態

今回は単発の事故ではない。2026年1月30日、欧州委員会に割り当てられたモバイル端末の管理インフラが侵害を受け、職員の氏名と電話番号が流出した可能性があることをEUのコンピュータ緊急対応チーム(CERT-EU)が確認した。この際は9時間以内に封じ込めたが、わずか2ヶ月後に今度はアマゾン・ウェブ・サービスのクラウド環境が標的となった。

欧州のサイバーセキュリティ機関(ENISA)は2026年の脅威報告書で「EU機関は国家支援型脅威アクターの最優先標的リストに載っている」と明記している。2022年2月のロシアによるウクライナへの全面侵攻以降、地政学的動機を持つサイバー攻撃は一貫して増加しており、ENISAによれば欧州でのランサムウェア攻撃の割合は全世界の22%に達した。クラウドへの集約がコスト効率をもたらす一方、攻撃者にとっても「一点突破で大量取得」を可能にする構造が生まれている。

「規制を書く側が守れない」——欧州メディアと専門家の論調

欧州のサイバーセキュリティ専門家の間では、今回の侵害が持つ象徴的意味に注目が集まった。欧州委員会は直近数年間、加盟国の重要インフラ事業者にインシデント報告と最低限のセキュリティ対策を義務付ける「ネットワーク・情報セキュリティ指令第2版(NIS2指令)」(2024年施行)と、デジタル製品のセキュリティ要件を定める「サイバーレジリエンス法」(2025年施行)を主導してきた。「規制を設計した組織が、自らその基準を満たせないことを露呈した」というのが欧州テックメディアの共通した評価だ。The Registerは「委員会の開示内容はNIS2指令が加盟国企業に求める透明性の水準を下回っている」と指摘した。

一方で、欧州市民の間でパニックが広がったわけではない。欧州委員会の公式サイトはダウンせず、市民向けサービスへの直接影響は確認されていないためだ。ただし、内部職員のデータが流出した場合、フィッシング攻撃の足がかりになりうるという懸念は専門家の間で共有されている。

日本のガバメントクラウドとNIS2指令——欧州の失敗が照らす日本のリスク

日本とEUは2023年に「デジタルパートナーシップ」を締結し、サイバーセキュリティ政策の相互参照を進めている。日本の経済産業省が2025年に改定した「サイバーセキュリティ経営ガイドライン」はNIS2指令の枠組みを大幅に参考にしており、重要インフラ事業者へのインシデント報告義務強化もNIS2指令との整合性を意識したものだ。今回の欧州委員会の事案が示したのは、「クラウド集約 × 国家支援型攻撃者」という組み合わせが、たとえ最先端の規制を持つ機関であっても突破されうるという現実だ。日本の政府系クラウド(ガバメントクラウド)もアマゾン・ウェブ・サービスを採用しており、同様のリスク構造を持つ。

経済産業省のサイバーセキュリティ経営ガイドラインでも「クラウド利用時の責任共有モデルの理解」を経営課題として明記しているが、欧州委員会の事案は「責任共有モデルの中で誰がどこを守るのか」という問いを再び鋭くした。

「法の番人」が被害者になったとき、基準は何を意味するのか

NIS2指令もサイバーレジリエンス法も、「最低限の備え」を組織に義務付けることで、欧州全体のサイバー衛生水準を底上げすることが目的だ。しかし今回の侵害が浮き彫りにしたのは、「基準を作ること」と「基準を守ること」の間にある根本的な困難さだ。欧州委員会の対応が示した不透明な開示姿勢は、NIS2指令が加盟国企業に求める「24時間以内の初期通知」「72時間以内の詳細報告」とは相容れない。

「誰が規制の例外になるのか」という問いは、欧州連合のサイバーセキュリティ政策の信頼性そのものに関わる。法を作る側が、自らその法の水準で説明責任を果たせるのか——この問いへの答えが、次のサイバー規制改革の出発点になるかもしれない。

参照・原文リンク