2025年末から2026年初頭にかけて、欧州宇宙機関(ESA)は立て続けに大規模なサイバー攻撃の標的となり、その機密情報が闇市場に流出するという衝撃的な事態に直面しています。この一連の事件は、宇宙開発という国家的な重要インフラを担う機関のセキュリティ体制に深刻な疑問を投げかけるものです。特に、わずか数週間の間に合計700GBを超えるデータが盗み出された事実は、その影響の大きさを物語っています。
ESAはこれらのサイバーインシデントを受け、司法当局と連携し、刑事捜査を開始したことを明らかにしました。これは、単なるデータ漏洩に留まらず、国家安全保障に関わる重大な犯罪行為として認識されていることを示唆しています。しかし、攻撃者とされるグループは、ESAのシステムに依然としてアクセス可能であると主張しており、事態の深刻さは増すばかりです。
今回の攻撃には、「Scattered Lapsus$ Hunters」や、以前から活動が確認されている「Shiny Lapsus$ Hunters」といったサイバー犯罪グループが関与していると報じられています。彼らは、ESAの運用手順、宇宙船およびミッションの詳細、サブシステム文書、さらにはSpaceX、Airbus Group、Thales Alenia Spaceなどの主要なパートナー企業の専有データを含む、極めて機密性の高い情報を窃取したとされています。
この連続攻撃は、宇宙機関が直面するサイバー脅威の現実を浮き彫りにしています。高度な技術と国家的な機密を扱う組織が、なぜこれほどまでに脆弱であったのか、そして今後、同様の事態を防ぐためにどのような対策が求められるのか、徹底的な検証が急務となっています。
2025年12月のBoxing Dayには、まず「888」と名乗るハッカーが、200GBを超えるESAのデータをダークウェブフォーラムに公開したと報じられました。このデータには、ESA独自のソフトウェア、認証情報、アクセストークン、そして機密性の高いプロジェクト文書が含まれていました。流出したファイルには、運用手順、緊急時対応計画、システム機能、セキュリティプロトコル、宇宙船の許容誤差と故障モード、地球観測(EO)衛星コンステレーションの詳細、さらには衛星の姿勢と位置管理に関連する文書など、多岐にわたる情報が含まれていたとされています。
この最初の流出で影響を受けた請負業者には、SpaceX、Airbus Group、Thales Alenia Spaceといった大手企業に加え、OHB System AG、EUMETSAT、Sener、Teledyne、Leonardo、Deimos Imaging、Sitael、SkyLabs、ISISPACEなどが名を連ねています。また、ギリシャの国家宇宙プログラム、ESAの次世代重力ミッション、FORUM(Far-infrared Outgoing Radiation Understanding and Monitoring)地球探査ミッション、TRUTHS(Traceable Radiometry Underpinning Terrestrial- and Helio-Studies)など、具体的な宇宙プログラムやミッションに関する機密情報も含まれていたと報じられています。
ESAは当初、この侵害の影響を「限定的」であると最小限に抑えようとしましたが、そのわずか1週間後には、さらなる大規模なデータ流出が発覚することになります。この初期対応は、事態の全容を把握しきれていなかったか、あるいは情報の公開を躊躇していた可能性を示唆しており、透明性に対する批判の声も上がっています。
ハッカーグループは、ESAがこの侵害について少なくとも1週間前から認識しており、流出したサンプルデータもダウンロードしていたと主張しています。この事実は、ESAが攻撃の兆候を早期に捉えながらも、その後の対応が追いつかなかった可能性を示唆しており、インシデントレスポンス体制の課題を浮き彫りにしています。
2026年1月、事態はさらに深刻化しました。「Scattered Lapsus$ Hunters」と名乗るサイバー犯罪グループが、ESAのサーバーからさらに500GBもの機密データを窃取したと発表したのです。彼らは、2025年9月に公開されたCVE(共通脆弱性識別子)を悪用してESAのシステムに初期アクセスを獲得したと主張しており、その手口の巧妙さがうかがえます。この新たな流出は、前回の事件からわずか数日後に発覚し、ESAのセキュリティ体制に対する懸念を一層高める結果となりました。
この500GBのデータには、運用手順、宇宙船およびミッションの詳細、サブシステム文書、そしてSpaceX、Airbus Group、Thales Alenia Spaceなどの主要な請負業者の専有データが含まれているとされています。これらの情報は、宇宙ミッションの遂行に不可欠な極めて重要なデータであり、その流出はESAの事業継続性や競争力に深刻な影響を及ぼす可能性があります。特に、請負業者の専有データが含まれていることは、サプライチェーン全体への波及効果を示唆しています。
さらに衝撃的なのは、攻撃者グループが「セキュリティホールは依然として開いており、ESAのライブシステムへの継続的なアクセスが可能である」と主張している点です。もしこれが事実であれば、ESAは現在も進行中の脅威にさらされており、さらなるデータ流出やシステムへの不正操作のリスクを抱えていることになります。ESAは、この主張について具体的な質問への回答を拒否しており、その沈黙は憶測を呼んでいます。
ESAの広報担当者は、このサイバーインシデントに関して管轄権を有する司法当局に刑事捜査を開始するよう通知していると述べました。しかし、攻撃者の主張する「継続的なアクセス」の有無や、具体的な脆弱性の詳細については言及を避けており、情報公開の透明性が求められています。この一連の事件は、宇宙機関が直面するサイバーセキュリティの課題の大きさを改めて浮き彫りにしています。
ETHチューリッヒの安全保障研究センターに所属するサイバーセキュリティ研究者クレメンス・ポワリエ氏は、Space.comの取材に対し、宇宙機関に対するサイバー攻撃は決して孤立した事件ではないと指摘しています。彼女の研究によれば、ESAだけでなくNASAの従業員のメール認証情報も、ダークウェブフォーラムで頻繁に売買されていることが確認されているといいます。これは、宇宙機関が恒常的にサイバー脅威にさらされている現実を示しています。
ポワリエ氏は、これらの認証情報が流出する原因の一つとして、「ESA職員のサイバー衛生の欠如」を挙げています。脅威アクターは、ウェブブラウザに保存された認証情報、セッションクッキー、多要素認証(MFA)データ、保存されたクレジットカード情報などを窃取するインフォスティーラーマルウェアを通じて、これらの情報を入手している可能性があると分析しています。インフォスティーラーは、アンチウイルスソフトウェアによる検出を回避するように設計されており、悪意のある広告やYouTube動画の説明欄に埋め込まれた感染リンクなどを通じて拡散することが知られています。
また、宇宙サイバーリスク環境に詳しい匿名の情報源は、NASAもハッカーの頻繁な標的となっており、クラウドソーシング型サイバーセキュリティプラットフォームBugCrowdを通じて、ほぼ毎日脆弱性が開示されていると述べています。このことは、世界をリードする宇宙機関でさえ、絶え間ない攻撃に直面し、そのセキュリティ体制が常に試されている現状を浮き彫りにしています。
ポワリエ氏の分析は、今回のESAの事件が単発的なものではなく、宇宙セクター全体に共通する構造的な問題の一部である可能性を示唆しています。従業員のセキュリティ意識の向上と、より強固なサイバー衛生対策の導入が、今後の攻撃を防ぐ上で不可欠であると強調されています。
今回のESAへのサイバー攻撃で特に注目すべきは、SpaceX、Airbus Group、Thales Alenia Spaceといった主要なパートナー企業の専有データが流出したことです。これは、攻撃がESA自身のシステムに留まらず、そのサプライチェーン全体に影響を及ぼしている可能性を示唆しています。クレメンス・ポワリエ氏も、脆弱性がESAのソフトウェアプロバイダーや、サービスを購入している第三者の側にある可能性を指摘しており、サプライチェーン攻撃のリスクが現実のものとなっていることを示唆しています。
流出したデータには、運用手順やミッション詳細、サブシステム文書など、宇宙開発プロジェクトの根幹に関わる情報が含まれており、これらの情報が外部に漏れることは、パートナー企業の競争力や知的財産にも深刻な影響を与えかねません。特に、複数の請負業者のデータが一度に流出したことは、攻撃者がサプライチェーンの弱いリンクを特定し、そこを足がかりに広範囲な情報窃取を行った可能性を示唆しています。
ポワリエ氏は、今回の流出データが「現時点ではそれほど重要ではないように見えても」、将来的にさらなる侵害で窃取されたデータと組み合わされることで、「宇宙システムに対する別のサイバー攻撃を可能にする戦略的情報を明らかにする可能性がある」と警告しています。これは、個々のデータが持つ価値だけでなく、それらが組み合わさることで生まれる潜在的な脅威を考慮する必要があることを意味します。
宇宙産業は、多くの企業や研究機関が連携して成り立っており、その複雑なサプライチェーンはサイバー攻撃者にとって魅力的な標的となり得ます。一つの脆弱性が、連鎖的に複数の組織に被害を広げるリスクがあるため、ESAだけでなく、そのパートナー企業全体でのセキュリティ強化が喫緊の課題となっています。
ESAのセキュリティ問題は、今回が初めてではありません。過去を振り返ると、同機関は少なくとも2011年以降、複数のサイバーインシデントに直面してきました。これらの過去の事例は、現在の連続攻撃が単発的なものではなく、ESAのセキュリティ体制に根深い課題が存在することを示唆しています。
例えば、2024年にはホリデーシーズン直前にESAのオンラインストアが攻撃を受け、顧客情報を窃取するために偽の決済ページが挿入される事件が発生しました。当時、ESAはオンラインストアの運営は自社で行っていないと説明しましたが、顧客データの保護責任は依然として問われるべき問題です。これは、第三者サービスを利用する際のセキュリティリスク管理の重要性を浮き彫りにしています。
さらに遡ると、2015年にはSQL脆弱性を悪用され、ESAの3つのドメインが侵害されました。これにより、数千人の購読者と一部のESA職員の情報が窃取され、流出しています。また、2011年には、何者かがESAのシステムに侵入し、管理者、コンテンツ管理、FTPのログイン認証情報、Apacheサーバーの設定ファイルをオンラインで公開するという事件も発生しました。ESAは当時、これが内部ネットワークには影響しなかったと説明していましたが、外部に公開された認証情報は、その後の攻撃の足がかりとなる可能性を秘めていました。
これらの過去の事例は、ESAが長年にわたり様々な手口のサイバー攻撃にさらされてきたことを示しています。今回の連続攻撃は、過去の教訓が十分に生かされず、根本的なセキュリティギャップが解消されていない可能性を強く示唆しています。繰り返される侵害は、組織全体のセキュリティ文化とリスク管理体制の抜本的な見直しを必要としていることを物語っています。
欧州宇宙機関(ESA)を襲った一連のサイバー攻撃は、現在、司法当局による刑事捜査が進行中です。ESAの欧州・法務・国際問題担当ディレクターであるエリック・モレル・ド・ウェストガヴァー氏は、記者会見でESAが当局に全面的に協力していることを明言し、事件に関するコミュニケーションは当局が管理すると述べました。これは、事件の重大性と、その解決に向けたESAの姿勢を示すものです。
しかし、サイバーセキュリティ研究者のクレメンス・ポワリエ氏が指摘するように、今回の流出データが「現時点ではそれほど重要ではないように見えても」、将来的に他の侵害で得られたデータと組み合わせることで、「宇宙システムに対する別のサイバー攻撃を可能にする戦略的情報」となり得る可能性は無視できません。データは単独でなく、時間の経過とともに蓄積され、関連付けられることでその価値と脅威が増大するのです。
ポワリエ氏はまた、「データ漏洩や侵害は宇宙機関にとって一般的であり、宇宙セクターに対するサイバー攻撃の増加を考慮すれば、将来的にどの機関にも起こり得る」と警鐘を鳴らしています。この見解は、今回のESAの事件が特異なものではなく、宇宙開発に携わる全ての組織が直面する避けられない現実であることを示唆しています。
刑事捜査の進展とともに、ESAがどのようにセキュリティ体制を強化し、再発防止策を講じるかが注目されます。しかし、真の解決には、単なる技術的な対策だけでなく、従業員のサイバー衛生意識の向上、サプライチェーン全体のセキュリティ強化、そして国際的な情報共有と協力体制の構築が不可欠です。宇宙というフロンティアを守るためには、サイバー空間での防御もまた、極めて重要なミッションとなるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -European Space Agency initiates criminal probe into breach • The Register - https://www.theregister.com/2026/01/07/european_space_agency_breach_criminal_probe/
- -Cyberthieves hit European Space Agency, stealing hundreds of gigabytes of data | Space - https://www.space.com/space-exploration/esa-email-credentials-on-dark-web