テキサス州の23の町が、組織的な攻撃と思われるランサムウェアの標的となった。
金曜日、テキサス州のIT業務を担当するテキサス州情報資源局(DIR)は、少なくとも20の地方自治体が影響を受けたと発表した。
翌日、DIRは、金曜の朝に地方自治体からの報告が届き、州運営センターが危機に対処するために昼夜を問わず活動を開始したと発表した。
「現時点で収集された証拠は、攻撃が単一の脅威アクターによるものであることを示しています」とDIRは声明で述べた。「23の組織が影響を受けたことが確認されています。対応担当者は、これらの組織と協力し、システムのオンライン復旧に積極的に取り組んでいます。」
ランサムウェアには、組織のファイルを暗号化し、ファイルのロックを解除できる可能性のある暗号化キーへのアクセスと引き換えに支払いを要求する悪意のあるコードが含まれます。
The Registerの問い合わせに対し、DIRの広報担当者は、影響を受けた組織や使用された攻撃ベクトルを特定していないと述べた。報道によると、攻撃にはSodinokibiランサムウェアが使用されたと示唆されているが、DIRはこれについて確認を拒否した。
DIRの広報担当者は、問題の町がデータのバックアップにアクセスできるかどうかについては提供できる情報を持っていなかった。
テキサス州ボーガー市は月曜日の午後、声明を発表し、同市も攻撃の影響を受けた自治体の一つであると述べた。声明によると、市の業務は影響を受けているものの、市は業務継続計画を発動し、基本サービスと緊急サービスの継続的な提供を確保している。影響を受けたシステムの復旧作業は進行中だが、完了までにどれくらいの時間がかかるかはまだ不明である。
ランサムウェア攻撃者は「スプレーして祈る」から「獲物を殺害する」へと移行した
続きを読む
「現在、出生・死亡証明書などの人口統計データはオフラインとなっており、市は公共料金やその他の支払いを受け付けることができません」と市は発表した。「通常業務が再開されるまで、延滞料は課されず、サービスも停止されません。」
市は、顧客のクレジットカード情報や個人情報は漏洩していないと述べ、調査が完了するまで攻撃の起源に関する詳細は公表しないと付け加えた。
サイバーセキュリティ企業のRecorded Futureは5月、デラウェア州とケンタッキー州を除く全米州の政府機関がランサムウェア攻撃を受けたと発表した。同様の事例はフロリダ州とメリーランド州、そして先月南アフリカのヨハネスブルグなど他国の都市でも発生している。
セキュリティ企業は、州政府や地方自治体に対するランサムウェア攻撃が増加していると述べたが、こうした事件は必ずしも報告されていないため、自社の指標が不完全である可能性があると認めた。
経営・技術コンサルタント会社ウェスト・モンロー・パートナーズのシニアディレクター、ショーン・カラン氏は、ザ・レジスター紙との電話インタビューで、過去数年間で攻撃者がデータを狙う方法が変化していると語った。
「盗んだ個人情報を転売するよりも、データの身代金の方が被害は大きく、得られる利益も大きい」と彼は述べた。「より直接的で、すぐに得られる利益だからだ。」
カラン氏は、ランサムウェアは非常に利益をもたらすようで、多くの組織がまだその可能性を考慮してセキュリティ体制を見直していないと述べた。「多くの企業は、バックアップが正常に機能するかどうかを確認するためのテストを実施しておらず、削除されないようにオフサイトに移動させている」とカラン氏は述べ、ランサムウェア攻撃者が最初に行うことはアクセス可能なバックアップを削除することだと指摘した。
組織はデータを安全な場所に保管していることを確認するべきだと彼は述べた。「昔ながらの方法が最善の場合もあります」と彼は言った。「テープは盗むのが非常に難しいのです。」
同氏はまた、マルウェアが組織のネットワークに侵入する手段となることが多いフィッシングの危険性について従業員に周知するよう組織にアドバイスした。
「私たちが調査したほぼすべてのランサムウェア攻撃では、攻撃が開始される6~9か月前に企業が侵害されていた」と同氏は述べ、これにより攻撃者が偵察を行うことができると指摘した。
同氏によると、攻撃が発生する際は、大量のデータを暗号化するのに時間がかかる可能性があるため、IT システムを監視する人がほとんどいない時間帯に発生する傾向があるという。®
