欧州宇宙機関(ESA)は2025年12月30日、企業ネットワーク外の外部サーバーへのサイバー攻撃を確認した。ESAは23の加盟国で構成される政府間組織で、パリに本部を置き、約3000人のスタッフを擁し、2025年の予算は76億8000万ユーロ(90億ドル)である。
攻撃者はハッキングフォーラムBreachForumsで、ESAのJIRAおよびBitbucketサーバーに約1週間アクセスし、200GB以上のデータを盗んだと主張している。盗まれたとされるデータには、ソースコード、CI/CDパイプライン、APIトークン、アクセストークン、機密文書、設定ファイル、Terraformファイル、SQLファイル、ハードコードされた認証情報が含まれる。ESAは侵害されたサーバーを「科学コミュニティ内の非機密の共同エンジニアリング活動をサポートするもの」と説明し、フォレンジック分析を実施中である。
ESAは1年前の2024年にも公式ウェブショップがハッキングされ、顧客情報と決済カードデータが盗まれる被害を受けている。
From: 
European Space Agency confirms breach of “external servers”
【編集部解説】
今回のESAへのサイバー攻撃は、宇宙開発という国家インフラにおけるセキュリティの脆弱性を浮き彫りにしました。攻撃者はJIRAとBitbucketサーバーに約1週間アクセスしていたと主張しており、この期間の長さが示すのは、侵入検知システムが十分に機能していなかった可能性です。
ESAは「非機密の共同エンジニアリング活動」のためのサーバーと説明していますが、攻撃者が主張するデータ内容は見過ごせません。特にAPIトークンやアクセストークン、ハードコードされた認証情報が含まれる場合、これらの情報が他のシステムへの侵入の足がかりとなる危険性があります。いわゆる「認証情報の使い回し」が実務レベルで行われていれば、非機密サーバーからの侵害が機密システムへと波及する連鎖的リスクを内包しているのです。
JIRAとBitbucketという開発者ツールが標的となった点も注目に値します。これらはソフトウェア開発のプロジェクト管理とソースコード管理に使われるため、宇宙ミッションに関わるソフトウェアの設計思想や脆弱性情報が露出した可能性があります。サイバーセキュリティ専門家のSeb Latomが共有したスクリーンショットには、Arielミッション(系外惑星大気観測衛星)やAirbus関連の機密マークが付いた資料が含まれていたとされています。
宇宙機関が標的となることの影響範囲は、単一組織にとどまりません。ESAは23カ国が参加する国際協力の枠組みであり、各国の研究機関や民間企業とデータを共有しています。外部サーバーという性質上、こうした協力パートナーの環境へも攻撃が拡大する可能性があり、サプライチェーン攻撃へと発展するリスクを秘めています。
なお、ESAは2024年12月にも公式ウェブショップがハッキングされ、顧客の決済情報が盗まれる被害に遭っています。1年間に2度の侵害は、組織全体のセキュリティ態勢に構造的な課題があることを示唆しています。宇宙開発競争が激化する中、技術覇権を握ろうとする国家レベルの攻撃者にとって、宇宙機関は格好の標的となっているのです。
【用語解説】
BreachForums
サイバー犯罪者が盗んだデータや侵害情報を共有・取引するダークウェブ上のハッキングフォーラム。過去に何度も閉鎖と再開を繰り返しており、データ漏洩の証拠や盗難情報が公開される場として悪名高い。
JIRA
Atlassian社が提供するプロジェクト管理・課題追跡ツール。ソフトウェア開発チームがタスク管理、バグ追跡、プロジェクト進行状況の可視化に使用する。多くの企業や組織が開発プロセスの中核として採用している。
Bitbucket
Atlassian社が提供するGitベースのソースコード管理サービス。開発者がソースコードをバージョン管理し、チームで共同開発を行うためのプラットフォームである。プライベートリポジトリには企業の重要なソースコードが格納される。
CI/CDパイプライン
Continuous Integration(継続的インテグレーション)とContinuous Delivery/Deployment(継続的デリバリー/デプロイメント)の略。ソフトウェア開発において、コードの変更から本番環境への展開までを自動化する仕組みを指す。
APIトークン/アクセストークン
システムやサービスにアクセスするための認証情報。パスワードの代わりに使用され、これが漏洩すると第三者が正規ユーザーになりすましてシステムにアクセスできてしまう。
Terraformファイル
HashiCorp社が提供するインフラ構築自動化ツールTerraformの設定ファイル。クラウドインフラの構成情報が記述されており、漏洩するとシステム構成や脆弱性が明らかになる危険性がある。
ハードコードされた認証情報
プログラムのソースコード内に直接書き込まれたパスワードやAPIキーなどの認証情報。セキュリティのベストプラクティスに反する手法であり、コードが漏洩すると認証情報も同時に露出してしまう。
フォレンジック分析
サイバー攻撃後に、侵入経路、被害範囲、攻撃者の行動などを調査・分析する作業。デジタル証拠を収集し、インシデントの全容を解明するために実施される。
Arielミッション
ESAが主導する系外惑星の大気組成を観測する宇宙望遠鏡ミッション。2029年の打ち上げを予定しており、地球外生命の可能性を探る重要なプロジェクトである。
【参考リンク】
European Space Agency (ESA) 公式サイト(外部)
欧州23カ国が参加する政府間宇宙機関。宇宙科学、地球観測、通信衛星、有人宇宙飛行など幅広い宇宙活動を実施している。
Atlassian公式サイト(外部)
JIRAやBitbucketを提供するオーストラリアのソフトウェア企業。チームコラボレーションツールと開発者向けツールを提供。
【参考記事】
European Space Agency confirms breach following leak of internal data(外部)
攻撃者が約1週間アクセスを維持。Arielミッションやエアバス関連の機密マークが付いた資料が含まれていた。
European Space Agency Suffers Data Breach Exposing User Data(外部)
攻撃の詳細と影響範囲を報告。JIRAとBitbucketが標的となり、ソースコードや認証情報が漏洩したとされる。
ESA Says Data Breach Was Limited to Servers with Unclassified Documents(外部)
ESA公式声明を報道。侵害されたサーバーは非機密文書のみを扱う科学コミュニティ向け共同作業用サーバーと強調。
ESA confirms limited data breach(外部)
ESAがフォレンジック分析を実施中であることと、影響を受けたサーバーが限定的であるという公式見解を報告。
European Space Agency Confirms Breach of Servers Outside the Corporate Network(外部)
企業ネットワーク外のサーバー侵害を確認。セキュリティ専門家による分析とBreachForumsでの情報公開を報告。
【編集部後記】
宇宙開発というと遠い世界の話に感じるかもしれませんが、今回の事案は私たちの身近なセキュリティ課題と地続きです。開発ツールに認証情報をハードコードしてしまう、外部サーバーの監視が手薄になる—これらは規模の大小を問わず、多くの組織が抱えるリスクではないでしょうか。
ESAほどの組織でさえ1年に2度の侵害を許したという事実から、みなさんの組織ではどんな対策が取れそうか、一緒に考えてみませんか。
