ワシントン州の小規模機関は、サイバー攻撃に対する強化のため連邦政府の支援を求めている

アンドリュー・エンゲルソンは、この物語が最初に掲載されたクロスカットのフリーランサーです。

ワシントン州では昨年、サイバー攻撃、データ侵害、ランサムウェア攻撃が記録的な数に急増しました。州司法長官事務所は11月に発表した報告書の中で、2021年には州全体で150件のランサムウェア攻撃が報告されたと指摘しています。これは過去5年間のランサムウェア攻撃の総件数を上回る数です。

2月には、シアトルを拠点とする2つの企業がサイバーセキュリティ侵害の被害に遭いました。世界的な貨物輸送会社であるエクスペディターズはサイバー攻撃を受け、業務の大部分を停止しました。その1週間前には、シアトルに拠点を置く決済処理会社がランサムウェア攻撃を受け、レドモンド、シアトル、カークランド、ピュアラップなど、複数の自治体の行政機関のサービスに支障が生じました。

大手企業や著名企業への攻撃がニュースの見出しを飾る一方で、ワシントン州の小規模自治体や地方自治体（市町村、郡、医療機関、学区など）にとっても深刻な問題となっています。これらの自治体の多くはITスタッフが1桁台にとどまっています。これは、600人以上の専任ITチームを擁し、そのうち18人がサイバーセキュリティに特化しているシアトルのような大都市とは比べものになりません。

全国的なサイバー攻撃の急増を受け、バイデン政権は11月に可決されたインフラ法案に、州政府向けの10億ドルのサイバーセキュリティ補助金を盛り込んだ。このプログラムには小規模政府や地方自治体向けの多額の資金が確保されているものの、小規模な公共団体がどの程度容易に資金を利用できるのか、そして補助金が具体的に何に使われるのかについては疑問が残る。

ワシントン大学講師で、ジャクソン国際大学院サイバーセキュリティ・イニシアチブの共同リーダーを務めるジェシカ・ベイヤー氏は、小規模な市や郡の自治体はITリソースが限られている一方で、膨大な量のデータを保有しているため、攻撃の標的になりやすいと指摘する。そのため、自治体は自らの経験を公に話すことを躊躇することが多い。 

「例えば、『資金が不足しており、サイバーセキュリティにもっと資金が必要だ』と言うと、そのようなことを話すことで、脆弱性が示され、攻撃を受けやすい状態になる可能性がある」とベイヤー氏は述べた。

ボセル、ウッディンビル、ワシントン湖の北の郊外を管轄するノースショア学区は、このことを苦い経験を​​通して学んだ。

2019年9月のある土曜日の早朝、ノースショア校のコンピューターシステム担当者が、学区内のサーバーの1つに異常が発生していることに気づきました。ノースショア校のシステム管理者であるスキー・カコロスキ氏は、午前5時半頃にこの担当者からの電話を受け、当時は特に緊急の問題だとは思っていなかったと認めています。

しかしその日の午後、カコロスキーは他のサーバーが不審な動きをしていることに気づいた。そして突然、全職員と生徒がシステムにアクセスできなくなった。カコロスキーは学区が深刻な危機に瀕していることを悟った。

その後、不可解なメッセージにより、ノースショアの IT スタッフは何が起こっているのか理解することができました。 

「どこかにHTMLファイルが置かれているのを確認しました」とカコロスキー氏は述べた。「そこには『ファイルを暗号化します』と書かれていました」

学区の電子メールシステムとウェブサイトはまだ稼働していたが、給与計算、生徒記録、さらには食堂のレジなど、ほぼすべての他のシステムにはアクセスできなかった。

「このようなものを初めて見ると、ランサムウェア攻撃だとは気づかない」とカコロスキ氏は認めた。

これは驚くほど率直な告白であり、ノースショアがシステムを修復し、セキュリティを強化した現在、地区当局者は自らの体験について公に話している。

「特にK-12（小中高）の教育部門を中心に、多くの同僚と話し合ってきました」と、ノースショアのテクノロジー担当エグゼクティブディレクター、アレン・ミデマ氏は述べた。「私たちは、この種の業務に必要な人員とリソースが不足していることで知られる公共機関に焦点を当てています。」

ランサムウェア攻撃は、信頼できる送信者から送信されたように見せかけた偽の「フィッシング」メールから始まる場合があり、ハッカーはコンピュータシステムへのアクセスを遮断し、人質に取り、システムの電子キーと引き換えに暗号通貨での支払いを要求します。学校や医療機関などの地域機関にとって、その影響は壊滅的なものとなる可能性があります。アクセスを遮断するだけでなく、ハッカーは生徒や患者の個人情報を公開してしまう可能性があり、実際に公開した事例もあります。

ノースショアにとって幸運なことに、カコロスキー氏のチームは、地区の保険会社に身代金を支払わせることなく、アクセスを回復することができた。

危機一髪

2021年5月、シェラン・ダグラス保健地区の保健管理者であるルーク・デイヴィスは、FBIから電話を受け、同局が近いうちに彼の組織にサイバー攻撃を仕掛ける可能性のあるハッカーを監視していると知らされた。 

「我々はこの攻撃を阻止したが、もしFBIから連絡がなかったら、間に合わなかったと思う」とデイビス氏は語った。

ワシントン州中部で12万6000人の患者に手頃な価格の医療と予防サービスを提供する組織のデイビス氏は、FBIがハッカーが組織のシステムに侵入しようとしていることをどのように把握したのかは分からないと述べた。しかし、その年の初めにはワシントン州中部と東部の他の地域で、注目を集めた攻撃がいくつか発生していたとデイビス氏は指摘した。その中には、1月にオカノガン郡のコンピューターサービスのほとんどを停止させたランサムウェア攻撃も含まれていた。（オカノガン郡の関係者は、この記事の取材要請には応じなかった。） 

シェラン・ダグラス・ヘルスの IT チームは脆弱性を迅速に特定し、インターネット サービス プロバイダーと協力してシス​​テムの防御を修正しました。

それ以来、デイヴィス氏のチームは、職員に対し、クリックするリンクに注意するよう教育を強化し、古いアカウントを監視して誰かがアカウントを有効化しようとしていないか確認し、ハードウェアとソフトウェアをアップグレードする取り組みを行ってきました。しかし、予算の少ない2つの田舎の郡にとって、これは大きな負担です。 

「ワシントンの公衆衛生は2007年以来、資金不足に陥っています」とデイビス氏は述べた。「そして、ここのインフラは非常に時代遅れでした。私が就任した2020年には、1998年頃のテレビが余剰となっていました。」

デイヴィス氏によると、シェラン・ダグラス・ヘルスは2月にアメリカ救済計画法の資金93万9000ドルを受け取った。このうち少なくとも50万ドルは同組織のコンピューターシステムとハードウェアの強化と近代化に使用される予定だ。

デイヴィス氏は、他の田舎のコミュニティが自分たちに何が起こる可能性があるかを知るために、彼の組織の経験を共有することが重要だと感じている。 

「同僚と話していると、誰もこのことについて話したがらないのが明らかです」と彼は言った。「公衆衛生の観点から見ると、性感染症について人々が本当に話したがらないのと同じです。これはサイバー空間におけるそれと同じようなものです。」

沈黙の応答

最近ランサムウェア攻撃を経験した多くの地方政府機関や学区は、この記事の取材を拒否するか、単に要求を無視した。

グレイハーバー郡では、ハーバー・リージョナル・ヘルスが2019年に100万ドル規模のランサムウェア攻撃を受け、8万5000人の患者情報が漏洩する危険にさらされました。業界ブログ「Health Security」によると、ハーバー・リージョナル・ヘルスは、2ヶ月間続いたとされるコンピューターのダウンタイムの影響を受けた患者らと18万5000ドルの和解金で合意しました。 

ハーバー・リージョナル・ヘルスはこの記事のインタビューを拒否した。

同様に、ケネウィック港は2020年11月にランサムウェア攻撃を受け、職員がコンピュータシステムにアクセスできなくなりました。トライシティ・ヘラルド紙によると、ハッカーは20万ドルの支払いを要求しました。  

港湾当局はこの記事の取材を拒否したが、広報担当のタナ・バダー＝イングリマ氏はメールで、同港は速やかに法執行機関に通報し、パスワードをリセットし、セキュリティ上の脆弱性を評価したと述べている。また、2015年以降州法で義務付けられている通り、州規制当局にもこの事件を報告した。

ヘラルド紙によると、港湾当局は身代金の支払いを拒否した。クロスカットが入手した公的記録には、港湾当局が最近ビットコインなどの仮想通貨で多額の支払いを行った証拠はなかった。しかし、港湾当局が直接身代金を支払った可能性は低い。ほとんどの場合、身代金は保険会社が支払うが、保険会社は支払った身代金の金額や金額を公表することを躊躇している。

ワシントン州学校リスク管理プールは、公立学区が共同で保険に加入し、リスクを軽減できるよう支援する州全体の2つの組織のうちの1つです。同組織の事務局長であるデボラ・キャラハン氏によると、ワシントン州における学校保険による身代金請求は「非常にまれ」ですが、「ランサムウェア攻撃やその他のサイバーセキュリティ侵害のリスクと規模が誰にとっても増加していることは明らかです」と認めています。

キャラハン氏は電子メールで、リスク管理プール組織のメンバー2人が過去2年間に身代金請求をしたが、「支払われたのはごくわずか、あるいは全くなかった」と記した。

ノースショアの技術ディレクターであるミデマ氏によると、学区はランサムウェア攻撃を受けていることが明らかになった直後に保険会社と連絡を取ったという。ミデマ氏によると、攻撃発生後数日で学区の保険会社がインシデント調査の指揮を執り、ノースショアに身代金の支払いを検討しているかどうか尋ねてきたという。 

「これは見た目ほど簡単な質問ではありません」とミデマ氏は言う。

身代金が支払われた金額や、被害者が身代金を支払った後にハッカーが実際に暗号化されたデータを解放する割合に関する正確なデータを把握することは困難です。ある業界レポートでは、ランサムウェア攻撃を受けた組織の30%が身代金を支払っていると推定されています。

FBIの正式な方針では身代金の支払いは推奨されていないものの、多くの組織は他に選択肢がないと考えている。ミデマ氏によると、一緒に仕事をしたFBI捜査官たちは、身代金を要求するハッカーのほぼ全員が暗号鍵をすぐに引き渡すと話していたという。 

「彼らはビジネスマンです」とミデマ氏は言った。「身代金を払ってもまだ返してくれないなら、その噂を広めるでしょう。そして彼らは廃業するでしょう」

ノースショア当局は襲撃者に金銭を支払う必要はないと判断したが、同時期に他の多くの組織も金銭を支払ったようだ。 

「攻撃から1週間以内に、保険会社は週末に5～6回の身代金支払い交渉をしたと私たちに伝えました」とミデマ氏は語った。

資金を増やし、教訓を学ぶ

11月、ジョー・バイデン大統領は1兆ドル規模のインフラ投資・雇用法に署名した。この法案には、各州がサイバー攻撃を防ぐのを支援するために連邦緊急事態管理局が管理する10億ドルの助成金プログラムが含まれていた。 

FEMAの広報担当者からのメールによると、同庁がこれらの助成金を管理し、州政府と部族政府はサイバーセキュリティ強化のために資金をどのように使用するかを概説した計画書を提出する必要があるとのことです。FEMAは、資金の配分方法は各州が決定するが、80%は「地方自治体」に、少なくとも25%は地方コミュニティ向けに確保する必要があると述べています。 

地方自治体や農村コミュニティの定義はまだ明確になっていません。さらに、連邦サイバーセキュリティ・インフラセキュリティ庁（CEISA）は、FEMAによるプログラム目標の設定や各州のサイバーセキュリティ計画の見直しを支援します。FEMAの広報担当者は、助成金はサイバーセキュリティの脆弱性を軽減し、能力を強化するのに役立つと述べましたが、組織が資金を身代金の支払いに使用することはできないと指摘しました。

「このプログラムに期待しています」と、ワシントン大学サイバーセキュリティ・イニシアチブのベイヤー氏は述べた。「都市や学校がいかに脆弱であるかを私たちは知っています。リソース不足は誰もが指摘する問題です。」

クラーク郡のITディレクター、マイク・スプリンクル氏は連邦政府の助成金プログラムを綿密に調査し、資金がどのように配分されるかを待っている。 

クラーク郡は以前、コンピュータアーキテクチャを全面的に見直し、サイバーセキュリティを強化するため、連邦政府のアメリカ救済計画（ARP）に700万ドル以上の資金を申請し、交付を受けました。スプリンクル氏によると、このプログラムのおかげで、IT部門はネットワークをセグメント化してシステム全体がハッキングされるリスクを軽減し、24時間365日体制のセキュリティ監視サービスを提供するサービスを利用することができました。

「私の大きな目標は、クラーク郡IT部門と私自身が新聞に載らないようにすることだった」とスプリンクル氏は笑いながら語り、これまで同郡は攻撃を防いできたと指摘した。 

彼は、クラーク郡には約 50 人の IT スタッフがいるが、多くの小規模な郡では IT スタッフがはるかに少なく、FEMA の資金を有効に活用できる可能性があると指摘しました。

ワシントン大学情報学部でサイバーセキュリティを専門とする准教授アニー・サール氏は、小規模自治体でも攻撃を防ぐのに大いに役立つ簡単な対策を講じることができると述べた。 

サール氏は、ソフトウェアパッチを更新し、すべてのオペレーティングシステムのアップグレードをインストールするだけでも大きな違いが出ると述べた。 

「この2つのことが行われれば、おそらく問題の80％は解消されるだろう」と彼女は語った。

ワシントン州監査局はまた、2021年12月以降、地方自治体、学区、医療システム、部族に対して60件以上の無料のセキュリティ監査を実施している。

「60回の監査で、500件以上の重大な脆弱性が特定されました」と、州監査局のITセキュリティ監査マネージャー、エリン・ラスカ氏は述べています。「これらは、情報漏洩を引き起こす可能性のある最悪の脆弱性です。」 

ノースショアのシステム管理者であるカコロスキー氏は、他の組織にアドバイスしたいことの 1 つは、システムと、サーバーからデータを完全に取得するテープや USB ドライブなどのさまざまな外部データ バックアップとの間に「エアギャップ」を作成することだと述べています。

さらに、攻撃の影響を受ける可能性のあるレジ、車両、暖房制御などの現実世界のシステムの在庫を把握することも役立つ可能性があるとミデマ氏は指摘した。 

「小さなシステムをすべてインストールして、それがただ機能し、それを忘れてしまうと、すべてが崩壊してしまうのです」と彼は語った。

ノースショア高校は攻撃後、システムを調整することでなんとか従業員の給与を支払えるようになりましたが、コンピューターのダウンにより多くの学校システムが機能不全に陥っていることがすぐに明らかになりました。レジが機能しないため、生徒は昼食を購入できず、新入生はバスのルートを割り当てられませんでした。寒波が襲来した際には、暖房システムも作動しませんでした。 

地区のフットボールのスコアボードにも影響が出ました。

「私たちのスタジアムは素晴らしいし、素晴らしい音声案内板も設置されている。そんなに重要じゃないと思うかもしれないけど」とカコロスキ氏は言った。「でも、あのテロ事件の翌週の金曜日、ESPNが私たちのフットボールの試合をテレビで放送する契約を結んだんだ。だから、音声案内板を稼働させておく必要があったんだ」

ついに、彼のチームはスコアボードを機能させることができた。 

カコロスキ氏とミデマ氏はともに、小規模組織に対し、脅威を真剣に受け止め、学んだことを互いに話し合うよう促している。 

「こんなことが起きたという事実を恥じる必要はありません」とミデマ氏は述べた。「実際、学区や公共団体はこの戦いにおいて劣勢です。彼らは本当にあなたを攻撃したがっており、それを止めるのはかなり難しいでしょう。これはある意味、考えさせられることです。」 

ワシントン大学のベイヤー氏も同意する。 

「いずれ何らかのサイバー攻撃を受けることになるという前提で考える方が、物事を考える上でより良い方法です」と彼女は言った。「すべてを防ぐことができるという考えではなく、回復力と回復力について考えるべきです。もちろん、そのようなリンクはクリックしないようにしましょう。しかし、実際に攻撃を受けた場合の備えはしておきましょう。」

Crosscutは、非営利の公共メディア組織であるCascade Public Mediaのサービスです。crosscut.com/donateにアクセスして、非営利で無料配信される地域ジャーナリズムを支援してください。