百万都市を丸ごと狙うランサム攻撃 行政、交通、教育が受けた影響とは

ランサムウェアを使う攻撃者はより少ない労力で最大の金銭を奪い取ることが可能なターゲットを常に探している。これまでは単一の企業を狙うことが多かった。だが、よりおいしいターゲットが見つかったようだ。

[Matt Kapko，Cybersecurity Dive]

　米国の百万都市がランサムウェア攻撃を受け、行政機関や地下鉄、教育機関が停止し、大混乱に陥った。これは大都市が攻撃されたときに何が起こるのかという事例でもある。

大都市の行政はおいしいターゲット

　Royalと呼ばれるランサムウェアグループがテキサス州北部のダラス都市圏を攻撃し、市の業務を混乱に陥れた（注1）。

　Royalは同地域の複数の政府機関を立て続けに攻撃した。ダラスモーニングニュース紙によると、テキサス州ダラス郡における不動産の評価を担当する機関Dallas Central Appraisal District（DCAD）が2022年11月に攻撃を受け、17万ドルの身代金を支払ったことからこの騒動が始まった（注2）。DCADの業務は地方自治団体に代って固定資産税評価のために不動産を鑑定することだ。

テキサス州とダラス市の位置

　2023年4月にはダラス市北部のレイクダラス地域に教育サービスを提供するレイクダラス独立学区をRoyalが攻撃した結果、約2万2000人の個人情報が侵害されたという。これはテキサス州司法長官事務所が開示した情報だ。さらに市の裁判所が閉鎖され、消防署が機能不全に陥り、水道料金のオンライン払いが不可能になり、図書館の施設が使えなくなった。

ランサムウェアグループが特定の地域を狙っている

　一連の攻撃を受けて、ダラス市の重要なサービスの一部は2023年5月末時点で運用を停止していた（注3）。Royalは、市が身代金を支払わなければ機密データを漏らすと脅したものの、2023年5月23日にダラス市当局は「データが漏えいしたという確固たる証拠はまだ存在しない」と発表した（注4）。

　サイバーセキュリティの専門家によると、ランサムウェアのグループはより低いコストでより収益が上げる可能性のあるターゲットを狙ったキャンペーン戦略を組み立てるようになった。今回のダラス市のように地域を狙ったもの、または病院やインフラなどの業界を狙ったものだ。

　IBMのセキュリティサービスであるX-Forceのチャールズ・ヘンダーソン氏（グローバル・マネージングパートナー兼責任者）によると、Royalは地域の複数の事業体と連携しているベンダーの脆弱（ぜいじゃく）性を特定したり、地元で関心のあるイベントを中心にフィッシングキャンペーンを開始したりした恐れがあるという。単発の攻撃ではなく、サプライチェーン攻撃を組み立てたり、ソーシャルエンジニアリングを組み合わせたりしているということだ。

　「攻撃者はアクセス権限の拡大などを攻撃拡大のために利用することで知られており、最初に侵入を受けた組織とつながりがある組織も攻撃対象になる。事態が進展するにつれて、犯罪を実行する機会がどんどん増えていく。アクセス権を奪った後、攻撃者はその権限を利用するだろう。今回の犯行グループはこの地域で非常に効率的に行動しているようだ」（ヘンダーソン氏）

　政府機関や都市、自治体は、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）がサイバーセキュリティのパフォーマンス目標やその他の施策を通じて支援しようとしている対象だ。だが、攻撃のターゲットとなる数がそもそも多く（注5）、ITリソースが貧弱な場合が少なくない。

　商務省に所属する経済分析局によると、ダラス市と隣接するフォートワース市を合わせたダラス・フォートワース都市圏は攻撃の主要なターゲットとなっている。この都市圏は米国で6番目に大きな経済地域で、2021年の域内総生産は5980億ドル（約85兆円）に達する。

　CISAはダラス周辺で相次いでいる最近の攻撃についてコメントを控えた。同機関が2023年3月に発表したRoyalに関する報告では（注6）、Royalの攻撃手段として最も多いのがフィッシングであり、次いでリモートデスクトッププロトコル、外部に公開されたアプリケーション、ブローカーだった。

　複数の攻撃手法があることは、防御側の戦略立案や防御行動に役立つ。だがサイバーセキュリティに関する次のような問題点も明らかになった。

　「社会はサイバー攻撃によって引き起こされる障害に鈍感になってしまった。ランサムウェアのために物事が停止することに慣れてしまった。社会全体が少しまひしている一方で、サービスを利用できなくなった人々が裁判所に直接出向かなければならないのは、軽い迷惑以上の問題だ。私たちは不安に対する感覚をまひさせないように調整し、この問題に取り組み続ける必要があると思う」（ヘンダーソン氏）

一つの都市をなぜ集中攻撃するのか

　テキサス州やその他の地域に拠点を置く複数のサイバーセキュリティの専門家は、Royalが今回の一連の攻撃を実行するために単一の地域に集中している証拠を見つけた。

　Royalが攻撃を開始するために使用した初期の侵入点はいまだに分かっていない。専門家は攻撃の被害者の間にある潜在的な関連性についてさまざまな意見を持っている。

　XDR（Extended Detection and Response）プラットフォームを提供するReliaQuestのリック・ホランド氏（バイスプレジデント兼CISO《最高情報セキュリティ責任者》）は、次のように述べた。「全ての被害者に対して共通に利用できるシステムの脆弱性を攻撃者が特定した可能性は低い。最も可能性の高いシナリオは、Royalがフィッシングとソーシャルエンジニアリングを使用して北テキサスの被害者のアクセス権限を最初に奪ったというものだろう。攻撃者はしばしば被害者を狙う際に『血の匂いを嗅ぎつける（カモを見つけた）アプローチ』を取ることがある。サイバー当局が組織に対して身代金の支払いを避けるように強く求める理由の一つがこれだ」

　Royalがダラス都市圏を標的に選んだ動機は明確ではない。被害者同士は地理的に近いという以外に直接的な関連性を持っていない。

　Moor Insights ＆ Strategyのウィル・タウンゼント氏（副社長兼主任アナリスト）は次のように述べた。「ヒューストンやオースティンなどのテキサス州の他の主要都市に対して、これらの攻撃がないかどうか、州レベルでさらなる監視の目を向ける必要がある。これらの都市の行政も年間予算として50億ドル規模を管理しているからだ」

　ランサムウェアに国境はないが、同じ攻撃者による一連の攻撃が比較的近距離の被害者に向けられることは珍しくない。2021年の終わりに司法省が提出した告発状によると、REvilというランサムウェアグループの提携先とされる組織は、2019年8月にテキサス州の自治体23カ所を攻撃したという（注7）。

　Futurum Researchのロン・ウェストフォール氏（シニアアナリスト兼リサーチディレクター）によると、「最も遠い被害者間の距離がおよそ30マイル（約50km）に及ぶ地域での攻撃のパターンは、少なくとも共通の脆弱性、地元で共有された認証情報の不正使用、または内部からの関与の可能性を示唆している」という。

身代金が即座に軍資金に変わった可能性あり

　攻撃者はランサムウェアの運用を進化させる傾向を持つ。それに対して自治体はしばしば似たようなITインフラストラクチャを使用している。つまり、攻撃者が「弱い」自治体から「強い」標的へと進む際に経験を積み、より突破力を高めていく可能性がある。

　Recorded Futureのアラン・リスカ氏（脅威インテリジェンスアナリスト）は次のように述べた。「テキサス州で発生した大規模な攻撃における被害者間に明確な関連性がない場合、最初の被害者であるDCADが支払った身代金が、近隣の他の被害者を狙う動機となった可能性がある。ある攻撃で得た情報がダラスへの攻撃に使われた可能性は十分にある。以前にもそのような証拠を見てきた。RoyalがDCADの後にダラス市本体を攻撃したのは単なる偶然だったという可能性もある」

　他の組織と比較して政府機関は身代金を支払う可能性は低いが、これらの組織は攻撃者にとって好都合な標的でもある。自治体は、一般的でないか、あるいは時代遅れの技術を用いており、その主な目的は住民に対してサービスを提供し、利用可能にすることだ。

　「これらの条件が全て重なると、政府機関は攻撃者にとって非常に魅力的なターゲットになる。侵入した後、組織内を横断する形で移動すると、攻撃者の隠れ場所も沢山見つかる」（ヘンダー氏）

　なお、ダラス市の当局は2023年6月5日、市のネットワークとITインフラの90％がようやく復旧したと発表した。

出典：Royal messes with Texas（Cybersecurity Dive）

注1：Dallas ransomware attack causes critical service outages（Cybersecurity Dive）

注2：How much did the Dallas Central Appraisal District pay in a ransomware attack?（Dallas News）

注3：Dallas under pressure as Royal ransomware group threatens leak（Cybersecurity Dive）

注4：City of Dallas statement on network outage（City of Dallas）

注5：CISA aims for target rich, resource poor sectors in rollout of security basics（Cybersecurity Dive）

注6：#StopRansomware: Royal Ransomware（CISA）

注7：US Justice Department Announces Indictment Against REvil Ransomware Suspect Behind 2019 Ransomware Attack on Texas Municipalities（Texas Department of Information Resources）