欧州委員会、職員データ漏洩のサイバー攻撃を公表

概要

欧州委員会は、職員のモバイルデバイス管理プラットフォームがサイバー攻撃を受け、一部職員の個人情報が漏洩した可能性のある事態を公表しました。現時点では、モバイルデバイス自体の侵害は確認されていません。

欧州委員会は、1月30日にモバイルデバイスを管理する中央インフラストラクチャにおいてサイバー攻撃の痕跡を検知しました。この攻撃により、一部の職員の氏名と電話番号がアクセスされた可能性があります。

委員会は迅速に対応し、インシデントは9時間以内に封じ込められ、システムはクリーンアップされました。欧州委員会は、「モバイルデバイスの侵害は検出されていない」と述べています。

このインシデントは、Ivanti社のEndpoint Manager Mobile（EPMM）ソフトウェアの脆弱性を悪用した他の欧州機関を標的とした攻撃と関連していると見られています。

オランダデータ保護当局と司法評議会も、Ivanti EPMMの脆弱性を悪用され、職員の氏名、ビジネスメールアドレス、電話番号がアクセスされる同様の侵害を受けていたことを金曜日に議会に通知しました。

Ivanti社は、1月29日にEPMMの2つの重大な脆弱性（CVE-2026-1281およびCVE-2026-1340）について警告を発していました。これらは認証なしでリモート攻撃者が任意のコードを実行できるコードインジェクションの脆弱性であり、ゼロデイ攻撃で悪用されていました。

今回のデータ漏洩は、欧州委員会が1月20日に国家支援のサイバー攻撃やサイバー犯罪グループに対する防御を強化するための新たなサイバーセキュリティ法案を提案した直後に発生しました。

欧州委員会は攻撃者がどのようにモバイルデバイス管理プラットフォームにアクセスしたかを具体的には明らかにしていませんが、この事件はサイバーセキュリティ対策の重要性を改めて浮き彫りにしています。

このインシデントは、重要インフラを標的としたサイバー攻撃に対する防御強化の必要性を再認識させるものであり、今後、欧州連合全体のサイバーセキュリティ戦略に影響を与える可能性があります。

元記事: https://www.bleepingcomputer.com/news/security/european-commission-discloses-breach-that-exposed-staff-data/