サイバー攻撃を受けた百万都市、復旧にかかった費用は？

サイバー攻撃は企業や個人だけではなく、行政も狙う。百万都市が攻撃された場合、復旧にかかる費用はどの程度なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　百万都市がランサムウェア攻撃を受けると、行政サービスを復旧するために巨額の費用が必要になり、納税者の負担が増える。

どの程度の出費が必要になるのか

　テキサス州ダラス市が受けたサイバー攻撃は長期間にわたり、被害も大きい。2022年11月から始まった攻撃は2023年5月に最高潮を迎えた。現在は復旧のための費用負担が課題だ。

　ランサムウェア攻撃から回復する「クリーンアップ作業」のため（注1）、ダラス市のほとんどの行政サービスがオフラインになり、数週間にわたって業務が中断した結果、市の納税者に経済的負担がもたらされた。

テキサス州とダラス市の位置

　ダラス市議会は2023年8月9日、復旧のために、ベンダーに約860万ドル（2023年8月の為替レートで約13億円）を支払うことを承認した（注2）。同市はCrowdStrikeをインシデント対応パートナーに認定したことを発表したが、その他のベンダーの名前は不明だ。

　「さまざまなベンダーから急いで購入したハードウェアやソフトウェア、専門サービス、コンサルティング、モニタリングサービスなどに関する請求を対象とした支払いだ」（ダラス市当局）

漏えいした個人情報の扱いが軽い

　納税者の負担が増えただけではない。個人情報の漏えいに関する重大な懸念もある。

　ダラス市が2023年8月に公開したデータセキュリティ侵害報告書によると（注3）、氏名や住所、社会保障番号、医療情報や健康情報を含む2万6000人以上の個人情報が漏えいしたという。

　ダラス市当局は個人の機密情報を含むファイルが漏えいしたことを2023年6月14日までそもそも確認していなかった。攻撃者は同年4月7日〜5月4日の期間に市のネットワークに侵入し、データを持ち出した（注4）。

　漏えいに関する開示も遅い。個人情報が漏えいしたことを初めて知ってから約2カ月後にデータ漏えいに関する情報を市が開示した。

　ダラス市への攻撃に関与した攻撃者「Royal」は、同市が身代金を支払わなければ機密データを漏えいさせると脅していた（注5）。この脅しに関連して、実際にデータが漏えいしたのかどうかはまだ確認できていない。

　なお、市の行政サービスは現在、回復している。2023年5月の約1カ月間、市のサービスは不安定な状態が続いたが、「6月初旬までにシステムの90％以上が復旧した」（ダラス市当局）という（注6）。

出典：Dallas to pay vendors $8.6M for their ransomware recovery services（Cybersecurity Dive）

注1：Dallas ransomware attack causes critical service outages（Cybersecurity Dive）

注2：Aug 09, 2023 City Council Agenda Meetings（DALLAS CITY NEWS NETWORK）

注3：Data Security Breach Reports（KEN PAXTON）

注4：Update on Ransomware Incident & Personal Data Protection（City of Dallas）

注5：Dallas under pressure as Royal ransomware group threatens leak（Cybersecurity Dive）

注6：Dallas in the homestretch of ransomware attack recovery（Cybersecurity Dive）