2026年3月、ShinyHuntersがTELUS Digitalから最大1ペタバイトのデータを盗み、6500万ドルで脅迫しました。入口はまったく別の企業の侵害で得た1つの認証情報。「クレデンシャルチェーン」の恐怖を解説します。
2026年3月12日、通信・BPO大手TELUS Digitalが衝撃的な発表をしました。 ハッカーグループ「ShinyHunters」が最大1ペタバイト——ハードディスク約1,000台分——のデータを盗み、沈黙の対価として6500万ドルを要求してきたというのです。
しかし最も恐ろしいのはデータ量でも身代金の額でもありません。攻撃者がTELUS Digitalに侵入するために使った入口は、まったく別の企業から数年前に盗んだ認証情報の1つでした。
ShinyHuntersとは何者か?
ShinyHuntersは2020年頃から活動するハッカーグループで、これまでにMicrosoft・Tokopedia・Booking.com・Wattpadなど数十の大企業から合計10億件以上の個人情報を盗んできたとされます。
彼らの特徴:
- 大規模なデータベース漏洩を専門とする
- 盗んだデータをダークウェブのマーケットプレイスで販売・公開する
- 「名声」を重視し、自らの犯行を積極的に公表する傾向がある
今回の事件で被害を受けたTELUS Digitalは、通信大手TELUSの子会社で、世界60カ国以上でBPO(ビジネスプロセスアウトソーシング)サービスを提供する企業です。コールセンター運営、IT管理、そして多数の企業の顧客データ処理を担っています。
攻撃の連鎖:「1つの鍵」が全てを開けた
今回の侵害は、長い「クレデンシャルチェーン(認証情報の連鎖)」の終着点でした。
【攻撃の連鎖】
2025年:Salesloft(CRMツール)が侵害される
↓ そこからGCPの認証情報(サービスアカウントキー)を入手
2025年末〜2026年初:TELUS Digitalに侵入
↓ GCP認証情報でGoogle Cloud Platformにアクセス
↓ BigQuery(データウェアハウス)に接続
↓ 格納されているデータを精査し、次の認証情報を取得
↓ ラテラルムーブメント(横断侵入)を繰り返す
2026年2月:TELUS Digitalに脅迫メール($65M要求)
↓ 回答なし
2026年3月:データ漏洩を公表・販売開始ShinyHuntersがBleepingComputerに語ったところによれば、最初の入口はSalesloftという全く別の企業の侵害で得たGCP(Google Cloud Platform)のサービスアカウントキーでした。
なぜ「Salesloftの鍵」でTELUSに入れたのか?
Salesloftは営業支援SaaSです。TELUS Digitalが自社の営業・CRM業務にSalesloftを使っており、その連携のためにGCPのサービスアカウントキーをSalesloftのシステム内に保存していました。
Salesloftが侵害されると、そこに保存されていたTELUSのGCPキーも盗まれ、攻撃者はTELUSのクラウド環境に直接アクセスできてしまいました。
盗まれたデータの内容
ShinyHuntersが主張する盗難データの規模と内容:
| カテゴリ | 内容 |
|---|---|
| データ量 | 700TB〜最大1PB(ペタバイト) |
| 顧客情報 | BPOクライアント(企業)の顧客記録 |
| 音声データ | コールセンターの通話録音 |
| ソースコード | TELUS Digital内部システムのソースコード |
| FBIバックグラウンドチェック | 従業員採用時の身元調査資料 |
| 財務情報 | 請求・契約関連データ |
| Salesforceデータ | CRMに格納された顧客ビジネス情報 |
BPO企業が狙われるのには理由があります。BPOは複数の大企業の業務を代行するため、一点突破で複数企業のデータに到達できます。TELUS Digitalの場合、顧客には大手通信企業・金融機関・医療機関などが含まれており、そのデータも侵害範囲に入っている可能性があります。
クレデンシャルチェーンが示すリスク
今回の攻撃が明らかにしたのは「サードパーティリスク」の現実です。
なぜ「自社のセキュリティ」だけでは守れないのか?
TELUS Digital のセキュリティ体制がどれだけ堅固でも…
↓
Salesloftのセキュリティが弱ければ
↓
Salesloftが保持するTELUSの認証情報が流出し
↓
TELUSに侵入される自社が直接使っているSaaSツール、そのSaaSツールが使っているクラウドインフラ、さらにその先の連携サービス——現代のビジネスはこうした依存関係の網の中にあります。自社のセキュリティが完璧でも、サプライチェーンの弱い環節から攻撃者は入ってきます。
クレデンシャルスタッフィングの「複利効果」
ShinyHuntersのような攻撃者は、盗んだデータを次の攻撃のための資産として活用します:
- 企業Aを侵害 → 企業B・C・Dのクレデンシャルを入手
- 企業Bを侵害 → 企業E・F・Gのクレデンシャルを入手
- …これを繰り返す
一度の大規模侵害が次の侵害の踏み台になる「複利効果」により、攻撃者の手元には膨大な認証情報ライブラリが蓄積されていきます。
1ペタバイトは「どこに行くのか」
盗まれたデータは通常、以下のルートをたどります:
短期(数日〜数週間):脅迫 → 今回のように高額の身代金を要求。支払いがなければ公開または販売を予告
中期(数週間〜数ヶ月):ダークウェブ販売 → BreachForumsなどのダークウェブマーケットで競合ハッカーや詐欺師に販売
長期(数ヶ月〜数年):標的型攻撃への利用 → 盗んだ通話録音・個人情報から特定人物を狙ったスピアフィッシングに使用
音声データが特に危険です。AI音声合成技術の向上により、盗まれた音声から特定人物の声を模倣した音声詐欺(「ディープフェイク音声」)が可能になっています。
組織が取るべき対策
1. サードパーティリスクの可視化
自組織が使っているSaaSツールを棚卸しし、それぞれに「どんな権限・データを渡しているか」を把握します:
| 確認項目 | 理想の状態 |
|---|---|
| SaaSツールに渡しているAPIキーの権限 | 最小権限(Read-onlyで済むならWrite不要) |
| SaaSツールが保管する自社データの範囲 | 必要最小限 |
| SaaSツールのセキュリティ認証 | SOC 2 Type II、ISO 27001など |
| インシデント時の通知義務 | 契約書に明記されているか |
2. クラウド認証情報の管理強化
【静的キー(NGパターン)】
サービスアカウントキー(JSON)をSaaSに渡す
→ そのSaaSが侵害されると永続的に悪用される
【OIDC / Workload Identity(推奨)】
GitHubActionsやSaaSに一時トークンを発行
→ 有効期限が短いため、漏洩しても被害が限定的GCPの「Workload Identity Federation」、AWSの「OIDC with IAM Roles」を使えば、静的なサービスアカウントキーなしにSaaSとの連携が可能です。
3. 最小権限の徹底
TELUS Digitalのケースでは、Salesloftに渡したGCPキーがBigQueryへのアクセス権を持っていました。もし「Salesforce連携に必要な最小限の権限のみ」に制限されていれば、被害の規模は大きく異なったはずです。
- **SaaSに渡すキーは「そのSaaSが使う機能のみ」**に絞る
- 定期的にクレデンシャルをローテーションし、使われていないキーを削除する
- クラウドコンソールの「キーの最終使用日時」を監査する
4. 異常なアクセスパターンの検知
正常なアクセス:
平日日中、社内IPから、管理者がBigQueryに接続
異常なアクセス:
深夜3時、海外IPから、大量のデータを一括ダウンロードGCPなら「Cloud Audit Logs + Security Command Center」、AWSなら「CloudTrail + GuardDuty」でこうした異常を検知できます。
まとめ
TELUS Digital侵害の本質は「自社が直接攻撃されたわけではない」という点です。攻撃の入口はサードパーティのSaaSでした。
クレデンシャルチェーン攻撃に対抗する3原則:
- 最小権限 — サードパーティに渡す権限は必要最小限に絞る。「とりあえずAdmin権限を渡す」は禁忌。
- 有限性 — 静的な長期キーは使わない。OIDCや一時トークンで「使い捨て認証」を実現する。
- 可視化 — 誰が、どのシステムに、どんな権限でアクセスできるかを常に把握する。
1ペタバイトのデータは一夜にして盗まれたわけではありません。数ヶ月にわたる静かな侵入、横断、そして蓄積——早期発見できていれば、被害を最小化できた可能性があります。
参考情報 本記事は BleepingComputer、TechRadar、Cybersecurity Dive、Bitdefender HotForSecurity の報道および Breached.Company の分析をもとに執筆しています。攻撃者が使用した具体的な認証情報や侵害されたシステムの詳細は意図的に省略しています。