カリフォルニア州政府にランサムウェア攻撃 具体的な被害は？

カリフォルニア州政府がサイバー攻撃を受け、76GBの文書がランサムウェアの被害を受けた。漏れたデータの内容はまだ分かっていない。

[Matt Kapko，Cybersecurity Dive]

　カリフォルニア州財務局がサイバー攻撃を受けた。巨大な州経済の成長と資源配分を担う部門だ。カリフォルニア州の人口は日本の総人口の3分の1に相当する約4000万人に及ぶ。

　複数の州機関がカリフォルニア州サイバーセキュリティ統合センターと連携して対応中だ。2022年12月12日に発表された声明（注1）によれば、州緊急サービス局がこの事件を調査し、事態の収拾と隠れた脆弱（ぜいじゃく）性の軽減に取り組んでいるという。

ランサムウェア攻撃の「6分の1」を1グループが主導

　ランサムウェア攻撃を実行するツールはダークWebなどから入手できるため、さまざまな攻撃者が入り乱れている状態だ。だが、数種類のグループに圧倒的な存在感がある。

　Emsisoftのブレット・キャロウ氏（脅威アナリスト）によると、ロシア系のランサムウェアグループ「LockBit」は、2022年12月12日に州の財務局の情報をリークサイトに掲載した。データベースや財務文書、裁判所提出書類、IT文書など76GBのデータを同局から盗んだと主張しているという。

　カリフォルニア州当局はこの攻撃を事前に察知したとして「州の資金は漏えいしていない」と述べているものの、それ以上の詳細は明らかにしていない。

　キャロウ氏が「Twitter」に投稿したスクリーンショットによれば（注2）、このところ攻撃を乱発しているLockBitが、カリフォルニア州財務局に対して身代金要求に応じる期限を2022年12月24日に設定した。

　米司法省によると（注3）、LockBitは2020年1月に初めて出現して以来、少なくとも1000の組織を攻撃してきた。

　NordLockerが2022年9月に発表した調査によると（注4）、2020年1月から2022年7月の間に最も活発に動いたランサムウェアグループはLockBitであり、この期間における既知の全攻撃件数の16％に当たる855件に関与していた。

　LockBitは2022年6月に発生したサイバーセキュリティベンダーのEntrust Datacard（Entrust）に対する攻撃を実行したとも主張している（注5）。

力を誇示する犯罪者の言うことはうのみにできない

　カリフォルニア州当局は今回の攻撃者が誰なのかを特定しておらず、どの程度のデータ損失があったのかをコメントしていない。同州の年間予算に関するWebサイトはしばらくアクセスできない状態が続いた（注6）。

　「LockBitは、以前にも組織へ攻撃したと偽って主張している。今回の主張が正しいと仮定するべきではない。彼らが入手したデータが説明通りのものだと仮定することも同じだ。どのようなデータが漏えいしたかを調べるために必要なフォレンジック作業には数週間かかることがあり、ランサムウェアの攻撃者はこの不確実な期間を利用して優位に立とうとしている」（キャロウ氏）

　カリフォルニア州サイバーセキュリティ統合センターには、州の緊急サービス局や技術局、カリフォルニア州軍部、カリフォルニア州ハイウェイパトロール隊が属している。

出典：California authorities confirm cyber intrusion, LockBit claims ransomware hit （Cybersecurity Dive）

注1：Statement on Cybersecurity Incident

注2：Brett Callow（Twitter）

注3：Man Charged for Participation in LockBit Global Ransomware Campaign

注4：US organizations hit by almost half of all ransomware since 2020（Cybersecurity Dive）

注5：LockBit ransomware group claims responsibility for Entrust attack（Cybersecurity Dive）

注6：California Budget 2023-24