サイバー犯罪グループ ShinyHunters が、欧州評議会(Council of Europe)への侵害の犯行声明を出した。International Business Times Singapore が2026年6月14日に報じた。
同グループは、ダークウェブ上の「Pay or Leak」ポータルで、ストラスブールに本部を置く同組織に関連する約297GB、42万9000件超のファイルを窃取したと主張している。内訳には給与明細40万9000件超、CV1万4000件超、内部人事ファイル3700件超が含まれる。データは2011年から2026年の期間にわたり、現職・元職の従業員、契約業者、求職者ら1万人超に影響する可能性があるとされる。
氏名、生年月日、住所、銀行口座情報、税務情報、社会保障記録なども含むと主張されている。ShinyHunters は2026年6月16日までの連絡を要求し、応じなければデータを公開すると警告した。FrenchBreaches は、データ量や情報の全容は独立した形で確認されていないと指摘している。
From: ShinyHunters Claims Theft of 297GB of Council of Europe Data, Threatens Leak of 429,000 Files
【編集部解説】
なぜ innovaTopia が今この一報を取り上げるのか。理由は明快です。攻撃者が設定した「最終期限」は2026年6月16日、つまり本稿をお届けする時点ではすでに目前に迫っています。交渉が決裂すれば数十万件規模の個人情報が一斉に公開されかねない——その緊迫した瞬間を、私たちは読者とともに見届けたいのです。
まず押さえておきたいのが、被害を主張されている「Council of Europe(欧州評議会)」という組織の位置づけです。日本ではEU(欧州連合)の関連機関と混同されがちですが、両者は別物です。欧州評議会は46の欧州諸国が加盟する人権・民主主義・法の支配を担う国際機関で、EUの機関ではありません。両者が同じ旗を用いるため、しばしば取り違えられます。1949年に設立され、国連のオブザーバー資格も持つ組織です。人権の旗手たる機関が標的として名指しされたという事実そのものに、この事件の象徴性があります。
ここで、最も重要な前提を共有させてください。現時点で、今回の欧州評議会への侵害は公的に確定していません。SecurityWeek は、欧州評議会がこの事案を公にはまだ認めておらず、調査中と回答したと伝えています。つまり、侵害の事実も、データの量も、第三者によって独立に裏付けられてはいないのです。読者の皆さんには、これを「確定した被害」ではなく「攻撃者側の主張」として受け止めていただくのが公正だと、私たちは考えます。本稿でも以下、確認済みの事実と攻撃者の主張とを、できるかぎり区別して記します。
なお、混同を避けるために補足します。今回の欧州評議会の件とは別の事案として、EUの行政府である欧州委員会のクラウド基盤が侵害されデータが持ち出された件は、すでに確認済みです。これは今年3月、ShinyHunters が犯行を主張したもので、欧州委員会自身が Europa.eu を支えるクラウド基盤からのデータ持ち出しを認めています(内部システムへの影響はないとしています)。欧州評議会と欧州委員会という別組織が、相次いで攻撃者の標的として浮上している——その構図に、欧州が直面する圧力の高まりが表れています。
次に、犯行を主張する ShinyHunters の正体です。彼らは単発のハッカー集団ではありません。脅威インテリジェンス企業の分析によれば、2020年ごろから活動する金銭目的のサイバー犯罪グループで、小売・テック・金融・航空・自動車など数多くの組織(一部分析では400超)への侵害に関与してきたとされます。2025年以降は、Scattered Spider や Lapsus$ のメンバー・ブランドと重なる「Scattered Lapsus$ Hunters」という連合体として報告されています。
注目すべきは、こうしたグループの「入り口」の傾向です。一般に彼らは壁を破って侵入するのではなく、OAuthトークンやSaaSの設定ミス、サプライチェーン連携、AIを使った音声フィッシングといった「組織が開けっ放しにしたドア」を悪用するとされます。標的は境界の防火壁ではなく、その内側のクラウド層なのです。これは、いくらファイアウォールを高くしても防ぎきれない、現代的な攻撃の本質を突いています。ただし、今回の欧州評議会への具体的な侵入経路は公表されておらず、上記はあくまで同グループ一般の手口である点はご留意ください。
技術的に見過ごせないのが、流出を主張されているデータの「質」です。給与明細やCVだけでなく、銀行口座情報、税務情報、社会保障記録、さらにはEDQM(欧州医薬品・医療品質理事会)など特定部門の文書まで含むと主張されています。セキュリティ研究者は、これだけ多種のデータが一人の人物に紐づくと、雇用記録から医療記録までを備えた極めて詳細な「被害者プロファイル」が作れてしまうため、もし事実なら非常に危険だと指摘しています。
その帰結は、想像にかたくありません。研究者は、銀行・税務データは金融詐欺に、身元情報は本人になりすました口座開設やローン契約に、医療や勤務評価の記録は脅迫に悪用されうると警告しています。一枚の流出ファイルが、個人の人生を狙い撃つ武器に転じうるということです。
では、この暗い事案にポジティブな側面はあるのでしょうか。あるとすれば、それは「守る側」の発想転換を加速させる点にあります。近年の同種事案では攻撃の主戦場がクラウドやSaaSの内部に広がっており、防御もまた、境界防御から「アイデンティティ起点」の監視へと比重を移さざるを得ません。皮肉なことに、こうした大型事案こそが、組織のセキュリティ投資と意識を底上げする触媒になってきました。
規制面への波及も小さくないでしょう。人権・データ保護の理念を世界に発信してきた機関が、もし自らの職員データを守れなかったとなれば、その含意は重いものになります。GDPR(EU一般データ保護規則)の運用や、公的機関のインシデント報告義務、身代金支払いの是非をめぐる議論にも、新たな論点を投げかけうるテーマです。
長期的に見れば、今回の一件は「制度への信頼」というインフラそのものが攻撃対象になりうる事例として記憶されるかもしれません。Tech for Human Evolution を掲げる私たちにとって、技術が人類を前に進める力であると同時に、その歩みを後ろから狙う影をも生むという両義性は、避けて通れないテーマです。事実関係はなお流動的です。続報を、引き続き冷静に追っていきます。
【用語解説】
ShinyHunters(シャイニーハンターズ)
2020年ごろから活動する金銭目的のサイバー犯罪グループ。壁を破る侵入よりも、認証トークンの悪用や音声フィッシングといった「人」や「設定の隙」を突く手口を得意とするとされる。
Scattered Lapsus$ Hunters(スキャッタード・ラプサス・ハンターズ)
2025年に ShinyHunters、Scattered Spider、Lapsus$ のメンバー・ブランドが重なって生まれたと報告される連合体。大規模な恐喝とデータ窃取で知られる。
Pay or Leak(ペイ・オア・リーク)
「支払うか、流出させるか」の意。攻撃者が窃取を主張するデータの一覧を掲示し、身代金を支払わなければ公開すると迫る、二重恐喝型の手口・ポータルを指す。
ダークウェブ
通常の検索エンジンではたどり着けず、専用のソフトウェアを介してのみ接続できる匿名性の高いネット領域。違法な取引や恐喝の舞台に使われることが多い。
EDQM(欧州医薬品・医療品質理事会)
欧州評議会の下部組織で、医薬品や医療の品質基準を定める機関。今回、流出を主張された部門の一つとして挙げられている。
CV(履歴書・職務経歴書)
Curriculum Vitae の略。欧州圏で広く使われる、学歴・職歴・スキルをまとめた応募書類を指す。
フィッシング/ソーシャルエンジニアリング
偽のメールやサイト、あるいは人をだます会話を通じて、認証情報や機密を抜き取る手口。前者は主に偽装サイト、後者は人間の心理の隙を突く点に特徴がある。
OAuth(オーオース)トークン
あるサービスから別のサービスへ、パスワードを渡さずにアクセス権を委譲するための「合鍵」のような仕組み。これが盗まれると、正規利用者になりすました侵入を許す。
SaaS(サース)
Software as a Service の略。ソフトを買い切らず、クラウド経由で利用する提供形態。設定ミスや連携アプリの隙が侵入経路になりやすい。
RaaS(ラース/Ransomware as a Service)
身代金要求型ウイルス(ランサムウェア)を、攻撃者が「サービス」として他者に貸し出す仕組み。攻撃の分業化・量産化を招く。
GDPR(EU一般データ保護規則)
EUが定める個人データ保護の包括的な規則。違反時には高額の制裁金が科され、世界の個人情報保護法制に大きな影響を与えている。
【参考リンク】
Council of Europe(欧州評議会)公式サイト(外部)
1949年設立、46加盟国が参加する人権・民主主義・法の支配のための国際機関。EUとは別組織である。
EDQM(欧州医薬品・医療品質理事会)公式サイト(外部)
欧州評議会の下部機関。欧州薬局方の策定など、医薬品・医療の品質基準を担う。流出主張に名が挙がった部門。
International Business Times Singapore(外部)
本件元記事を掲載する英語ニュースメディア。テクノロジー、ビジネス、サイバーセキュリティなどを扱う。
FrenchBreaches(フレンチブリーチズ)(外部)
フランス語圏のデータ侵害事案を追跡・記録する情報サイト。本記事が攻撃者の投稿内容の出典として参照している。
【参考記事】
ShinyHunters Claims Council of Europe Hack(SecurityWeek)(外部)
約300GB・42万9000件超の窃取主張や、1949年設立・46加盟国という組織概要、欧州評議会が本件を公に認めていない点を整理。
Hackers claim massive Council of Europe breach(Cybernews)(外部)
297GB・42万9000件超の主張を伝え、研究者が詐欺・なりすまし・脅迫への悪用リスクを警告。EUとの違いにも言及している。
ShinyHunters Targets Council of Europe in Major Cyberattack(SQ Magazine)(外部)
給与明細40万9000件超、2011〜2026年で1万人超など内訳を提示。流出元とされる部門も具体的に列挙している。
Who Is ShinyHunters?(DoControl)(外部)
2020年から多数の組織に侵害したグループと位置づけ、OAuthやSaaS設定ミス、音声フィッシングを悪用する手口を分析。
Threat Actor Spotlight: Scattered Lapsus$ Hunters(DarkOwl)(外部)
3グループが2025年に連合体を形成したと報告される経緯や、RaaS「ShinySp1d3r」の開発表明など今後を示唆する動きを記録。
European Commission confirms data breach after Europa.eu hack(BleepingComputer)(外部)
今年3月の欧州委員会への侵害を報道。クラウド基盤からのデータ持ち出しを認める一方、内部システムは無事とする見解を伝える。
【関連記事】
サイバー犯罪EaaS化の衝撃 – 3つのグループの連携が生み出すランサムウェアカルテル
本件の主役 ShinyHunters が、Scattered Spider・LAPSUS$ と連合体「Scattered LAPSUS$ Hunters」を形成したと報告される背景と、その分業構造を詳説。今回の事案の前提を理解する一本。
Salesforce標的のUNC6040・UNC6395にFBI警告 OAuth悪用で700社被害
解説で触れた「OAuth悪用」「境界防御を超えた対策」を具体的に掘り下げた記事。FBIがSalesforce環境への攻撃を警告した経緯と、3グループ統合という論点も補完する。
Instructure社「Canvas」大規模ハッキング、学生データが脅迫材料に
1つのSaaS侵害が世界中の利用者へ波及する構造と、ゼロトラストという対抗策を整理。今回のクラウド時代の攻撃像と地続きの事例。
【編集部後記】
履歴書を送る、給与明細を受け取る、応募フォームに生年月日を打ち込む——どれも、私たちが何の疑いもなく繰り返してきた行為です。今回名指しされたデータは、まさにそうした「ごく普通の手続き」の積み重ねでした。期限とされる日を迎えたいまも、何が本当に起きたのかは霧の中にあります。けれど、たとえ今回の主張が誇張だったとしても、私たちが膨大な自分の痕跡をどこかに残し続けているという事実は変わりません。
守ってくれるはずの組織を信じる気持ちと、それでも自分で確かめる姿勢。その両方を手放さずにいたいと、私たちは考えています。innovaTopia は、不安をあおるためではなく、皆さんが落ち着いて次の一歩を選べるよう、この件の行方を見守り続けます。
