Airpods

シアトル公共図書館、ランサムウェア攻撃から回復、技術セキュリティ強化へ

シアトル公共図書館、ランサムウェア攻撃から回復、技術セキュリティ強化へ

カート・シュロッサー

シアトルのダウンタウンにあるシアトル公共図書館本館の内部。あるサイバーセキュリティ専門家は、攻撃に迅速に対応するためには「復旧計画を継続的に更新し、テストする」ことが重要だと述べた。(GeekWire ファイル写真 / Kurt Schlosser)

シアトル公共図書館では、ランサムウェア攻撃により図書館とその市内27の分館が一部機能停止に陥ってから約3か月が経ち、今週、テクノロジーを利用したすべてのシステムとサービスが復旧しました。サイバーセキュリティの専門家たちは、将来の攻撃から守るために講じられた対策の一部を高く評価しています。

戦没者追悼記念日の週末に発生したサイバーセキュリティ侵害により、職員および公共のコンピュータ、オンラインカタログおよび貸出システム、電子書籍および電子オーディオブック、館内Wi-Fi、図書館ウェブサイトなどへのアクセスが影響を受けました。

SPLは復旧の過程で、復旧したサービスと未完了の作業について段階的に最新情報を提供してきました。サイバーセキュリティの専門家は以前、図書館が標的となった理由や、組織が防御を強化するために何ができるかについて意見を述べています。

同図書館は火曜日の声明で、今回の攻撃への対応について評価作業を進めており、年内に公開報告書を発表する予定だと述べた。しかし、SPLはGeekWireに対し、将来の攻撃を防ぐために講じた対策の一部を明らかにした。

「システム強化の作業は攻撃前から始まっていましたが、IT部門の作業計画の残りの項目は攻撃後に急ピッチで進められました」と、図書館広報部長のローラ・ジェントリー氏は述べています。「メモリアルデーの週末以降、図書館はSharePoint Onlineへの移行と職員用システムへの多要素認証の導入を急ピッチで進めました。当初数週間かかる予定でしたが、3日間で完了しました。」

ジェントリー氏によると、SPLはファイル管理とコミュニケーションのニーズに対応するため、最近導入したクラウドベースのMicrosoftツールの利用も拡大したという。ITスタッフはクラウドベースのインフラストラクチャ機能を活用し、攻撃後の「より良い復興」のために、オンプレミスのレガシーサービスの一部を廃止した。

ジェントリー氏によると、図書館では約1,000台のコンピューター(職員と一般利用者向け)のイメージを再作成し、システム全体でパスワードの更新を強制し、パスワード要件を強化した。

シアトル公共図書館ブロードビュー支所の公共コンピューターには、5月にSPLの技術インフラへのサイバー攻撃直後、「サービス停止中」の標識が掲げられていた。(GeekWire Photo / Kurt Schlosser)

シアトルを拠点とするサイバーセキュリティの新興企業オレリアのCEO、ジム・アルコーブ氏は、図書館が多要素認証を実装し、クラウドベースのサービスに移行したことを称賛し、この2つの取り組みは業務の回復と将来に向けた図書館システムの強化に不可欠だと述べた。

MFA はセキュリティを大幅に強化しますが、包括的に導入され、FIDO2 キーやパスキーなどの強力でフィッシングに強い方法を使用すると最も効果的だと Alkove 氏は述べています。

「ランサムウェア対策におけるもう一つの重要な側面はパッチ適用です」とアルコーブ氏は述べた。「SaaSおよびクラウド環境への移行により、SPLは重要なサーバー資産のパッチ管理の責任を、パッチコンプライアンス維持のためのリソースが豊富なベンダーに効果的に委譲しました。」また、これにより、攻撃者の標的となりやすいレガシーオンプレミスシステムの攻撃対象領域が縮小されたと付け加えた。

シアトルに拠点を置くサイバーセキュリティスタートアップ企業Averlonの共同創業者兼CEO、スニル・ゴットムッカラ氏も、職員のMFA導入を称賛した。5月の攻撃直後にGeekWireの取材に応じた際、ゴットムッカラ氏は図書館がMFAを導入することを期待していたと述べている。

「『より良い復興』のためにマイクロソフトのクラウドサービスに移行するという点については、一般的には良いことですが、将来のランサムウェア攻撃に対する防御という点では意味がないかもしれません」とゴットムッカラ氏は木曜日にメールで述べた。「マイクロソフトは定期的にテストされる『復旧・再建』計画を策定すべきですが、それについて言及されていません。」

同氏は、準備不足が図書館の攻撃からの復旧に長期間を要した理由を説明できるかもしれないが、SPLが復旧プロセスのどこで時間を費やしたかの詳細はまだ全ては分かっていないと警告した。

アルコーブ氏は、図書館のセキュリティプロトコルを定期的にテスト、監視、維持することが不可欠であることに同意した。その一環として、「オーバープロビジョニング」、つまりユーザーが必要とするアクセスと権限のみを提供し、それ以上は提供しないという、根深い課題の解決も含まれる。アルコーブ氏は、ほとんどの組織がユーザーアクセスの過剰なプロビジョニングに悩まされており、「悪意のある攻撃者にとって大きな攻撃対象領域」を生み出していると述べた。また、Microsoftの報告によると、アクセスの95%は未使用のままであるという。

アルコーブ氏は、回復のタイムラインは組織によって大きく異なる可能性があるが、真の回復力はシステムをオンラインに戻すだけにとどまらないと述べた。

「SPLのインシデントは、最近のCrowdstrikeのインシデントと同様に、あらゆる組織がサイバーレジリエンスに重点を置く必要性を浮き彫りにしています」とアルコーブ氏は述べた。「だからこそ、事業継続計画(BCP)は極めて重要なのです。組織は、次回の攻撃発生時に迅速かつ効果的に対応できるよう、復旧計画を継続的に更新・テストする必要があります。」