またもや狙われた百万都市 サイバー攻撃に遭ってから発表までの時間が長過ぎる

米国東海岸のフィラデルフィア市がサイバー攻撃を受けた。当局の動きは鈍く、市民の不安に応えていない。

[Matt Kapko，Cybersecurity Dive]

　米国の百万都市が次々とサイバー攻撃の標的になっている。ダラスに次いで狙われたのは米国東海岸に位置するペンシルベニア州フィラデルフィア市（人口160万人）だ。

なぜすぐに発表しないのか

　同氏は2023年10月20日に市のWebサイトで被害状況を発表した。どのような被害があったのだろうか。

　「2023年5月26日から同年7月28日にかけて、攻撃者が市のメールアカウントとメール内の特定の情報に対するアクセス権を得ていた可能性がある」（注1）

　市のメールシステムで不審な動きを検出してから発表まで約5カ月かかったことになる。

市民の健康情報が流出

　同市によると、侵害されたことが分かった後、発表の前に外部のサイバーセキュリティ専門家と連携し、調査を開始したという。

　調査の結果、攻撃者がシステムにアクセスしていた期間が2カ月だということが分かった。2023年8月22日には、侵害されたメールアカウントの一部に保護しなければならない市民の健康情報が含まれていたことが判明した。調査は現在も継続中だ。

　フィラデルフィア市の当局は、機密性の高い健康情報の流出が判明した後、事態を公表するまでさらに2カ月も待った理由を説明しなかった。同市は「連邦政府の保健福祉省に事態を報告した」と述べた。

　「慎重を期するために、影響を受けた可能性のあるメールアカウントに対して、包括的でプログラム化された手動のレビューを実施し、個人情報または保護されなければならない健康情報が影響を受けたかどうかを判断しているところだ」（フィラデルフィア市の発表資料）

　同市は、影響が及んだ個人の数や、攻撃によって侵害されたデータの種類と量について何の判断も下していない理由に関する質問には回答していない。

出典：Philadelphia discloses email compromise 5 months after initial detection（Cybersecurity Dive）
注1：NOTICE OF PRIVACY INCIDENT（City of Philadelphia）