公共部門をランサムウェアから守る
人、プロセス、テクノロジー総出でセキュリティを強化する
公共部門の組織に対するランサムウェア攻撃が増加しており、何百万人もの人々に影響する重要なサービスが混乱に陥れられています。従来のサイバーセキュリティ戦略では、最新の手口に対抗するには不十分です。
2024年のレポートによると、2021年以降、米国の公共部門のランサムウェアインシデントは94%以上増加しています。政府機関だけで、2023年の95件から2024年には117件のランサムウェア攻撃を受けました(23%増)。2025年のグローバルレポートによると、2025年上半期は政府に対するランサムウェア攻撃が2024年の同時期と比較して65%増加しています。
州政府および地方自治体への攻撃は、911通報センター、保安官事務所、診療所、公益事業など、重要な政府業務が妨げられるため、人々に直接かつ即時の影響を及ぼします。これらのインシデントは機密情報の流出が伴うことも多く、それに紐づく個人が数年間にわたり詐欺被害にさらされる可能性があります。そして、政府機関が身代金の支払いを拒否した場合でも、システムやデータを復旧するために大規模な公共支出が必要になる可能性があります。
最近の2件のインシデントが、ランサムウェア攻撃の高額なコストを浮き彫りにしています。
オハイオ州コロンバスは、2024年に190万ドルの身代金要求を拒否しましたが、市のテクノロジーインフラの保護と復旧に400万ドル以上を費やしました。
テキサス州ダラス市は、2023年にランサムウェア関連の費用として850万ドルを支払いました。
ランサムウェアの手口や技術の変化は、防御強化の必要性をさらに裏付けています。サイバー犯罪者は新しいツールを活用し、攻撃をより効果的に、影響力の大きいものにしています。例えば、AIを使用して、より説得力のあるフィッシングメッセージを作成したり、防御をすり抜けるマルウェアを開発したり、価値のあるデータを特定して持ち出したり、より大規模な攻撃を仕掛けたりしています。また、小規模な犯罪グループは、低コストで迅速に攻撃を開始できるRansomware as a Service(RaaS)を利用するケースも増えています。
サイバー犯罪者は、ランサムウェアの手口に新たな層を追加しています。最近まで、ほとんどの攻撃者は組織の持つ機密データを暗号化し、復号化キーと引き換えに身代金を要求していました。現在、攻撃者は身代金を支払わなければ不正に取得したデータを公開すると脅しています。攻撃者らは、交渉が失敗した場合でも、取得したデータを販売するという活用方法があることを知っています。
この手口の例として、2024年7月にフロリダ州保健局で発生したRansomHub攻撃があります。機関は身代金を支払わなかったため、サイバー犯罪者は約73万人分の社会保障番号、クレジットカード情報、医療データなどを含む100GBのデータを流出させました。
ランサムウェア攻撃の進化と各インシデントがもたらす潜在的な壊滅的影響を考慮すると、政府機関は従来のセキュリティ戦略を超えて進む必要があります。単にデータをバックアップするだけでは、情報が人質に取られるのを防ぐ手段として不十分です。
より強固なランサムウェア保護への移行を支援するために、米国国立標準技術研究所(NIST)はランサムウェアに対抗するためのサイバーセキュリティフレームワークを作成し、国土安全保障省(DHS)はランサムウェア犯罪を阻止するための包括的ガイドを公開しています。これらの提言は、州や地方政府機関がより包括的かつ積極的なアプローチを取る必要があることを強調しており、その実現には人、プロセス、技術すべてを巻き込んだ変革が求められます。
人:防衛の第一線の強化を担う
高度な技術を導入する前に、セキュリティチームはまずサイバー衛生(サイバー・ハイジーン)に注力する必要があります。DHSが述べているように「基本を徹底する」ことが重要です。具体的には、ネットワークへの不正アクセスを防ぐための3つのベストプラクティスの実施が求められます:
チームメンバーの教育:多くのランサムウェアインシデントの入り口は、フィッシング、スミッシング、その他のソーシャルエンジニアリング手法です。これらの攻撃はAIツールによって、より従業員が偽装リンクをクリックしたり、ログイン情報を入力するよう仕向けた説得力のあるメッセージに仕立て上げられています。これが成功して資格情報が攻撃者の手に渡ると、ネットワークにランサムウェアが仕掛けられてしまいます。
従業員は防衛の第一線であり、機関は従業員に詐欺メールや詐欺文章の見分け方を教育する必要があります。この教育は、戦術の進化に応じて継続的に更新する必要があります。強力なパスワードとMFAの要求:同時に、機関は従業員に対し、AIを使用した総当たり攻撃にも耐えられる推測が困難な強力なパスワードを使用し、それらを決して複数のアプリケーションで使い回させないことが重要です。
多要素認証(MFA)は追加の保護層を提供します。万が一サイバー犯罪者に認証情報が盗まれた場合でも、MFAを使用していれば重要なアプリへのアクセスを防ぐことができます。悪意のあるダウンロードの防止:高いセキュリティ意識を持つ従業員でも、誤って危険なリンクをクリックしてしまい、安全でないWebサイトに誘導されたり、悪意のあるダウンロードが実行されてしまうことがあります。行政機関は、インターネットトラフィックを検査およびフィルタリングし、ユーザーが悪意のある宛先に到達するのを防ぐことで、Webブラウジング体験を保護する必要があります。
プロセス:進化するランサムウェア手口に先手を打つ
多くの機関は、既存のプロセスを見直す、または新しいプロセスを導入することで、既存の脆弱性や変化する攻撃手法に対処できているかを確認する必要があります。
ソフトウェアやファー��ムウェアのアップデート:未更新の古いソフトウェアや機器を狙う攻撃は、サイバー犯罪者の主な戦術になっています。実際、ランサムウェアインシデントの約半数で、ソフトウェアの脆弱性と認証情報の侵害が初期ベクトルとなっています。脆弱なアプリを標的にすることで、攻撃者はセキュリティを回避し、システムに不正アクセスしてランサムウェアに感染させることができます。この脅威に対処するには、警戒心を高め、ベンダーが新しいアップデートやパッチを発行したら、すぐにソフトウェアやファームウェアを更新することが重要です。
最近の報告によると、ソフトウェアの脆弱性と資格情報の流出は、ランサムウェア攻撃の約55%の初期侵入経路となっています。
ITセキュリティを運用に適用する:IoTセンサーの使用など、ITシステムと運用技術(OT)システムの融合は、サイバー犯罪者にとって新たな攻撃経路となります。ITとOTをつなぐデバイスを標的にすることで、サイバー犯罪者は深刻な運用上の混乱を引き起こし、より優位に身代金を要求できるようになります。政府機関は、保護が不十分なシステムがランサムウェアの侵入経路とならないように、ITセキュリティ機能をOTにも適用する必要があります。
インシデント対応計画の策定とテストを実施する:混乱が1日続くごとに、データの復旧と復元に何千ドルものコストがかかる可能性があります。インシデント対応計画を策定し、定期的にテストすることで、攻撃が検知された瞬間から迅速に対応できる体制を確立します。
データをバックアップする:データのバックアップだけではランサムウェアインシデントを阻止するには不十分ですが、それでも防御の一環として実施する必要があります。最新のデータを安全なオフラインまたはクラウド環境にバックアップしておくことで、身代金を支払う必要性を大幅に減らすことができます。ほとんどの攻撃者はバックアップ先にもアクセスを試みるため、バックアップデータの暗号化は不可欠です。
テクノロジー:サイバーセキュリティ体制の強化
私の州政府および地方自治体での経験から言うと、多くの自治体がランサムウェアから身を守るために必要なセキュリティ機能を十分に実装できていません。データのバックアップだけに頼るのではなく、初期攻撃を防ぎ、マルウェアのラテラルムーブメントを抑制し、データの流出を防ぐソリューションを導入する必要があります。
初期攻撃のブロック:ランサムウェアインシデントの重要な第一段階を阻止するためのソリューションを導入し、攻撃者がネットワークに侵入するのを防ぎます。
メールセキュリティ:攻撃者のフィッシングメールはますます巧妙化しているため、政府機関はメールセキュリティ機能を活用し、従業員のメールボックスに届く前に識別してブロックする必要があります。
DNSフィルタリング:サイバーセキュリティ・社会基盤安全保障庁(CISA)も推奨するDNSフィルタリングで、既知の悪意のあるサイトへのアクセスを防止し、ダウンロードを防止します。
アプリケーションセキュリティ:機関はWebアプリケーション攻撃をリアルタイムで検出およびブロ�ックするWebアプリケーションファイアウォール(WAF)を実装し、アプリの制御を奪われたりランサムウェアをデプロイしようとする試みを阻止する必要があります。
DDoS攻撃対策:稀なケースではありますが、サイバー犯罪者は分散型サービス拒否(DDoS)攻撃の一環として身代金を要求する場合もあります。機関には、これらの攻撃を自動的に検出し、吸収し、阻止することで、身代金の支払い要求を無効化するDDoS攻撃対策が必要です。
ラテラルムーブメントの抑制:サイバー犯罪者がユーザー資格情報の窃取やアプリケーションの侵害に成功した場合、マルウェアがネットワーク内を横方向に移動し、最終的に機密データにまで辿り着く可能性があります。このラテラルムーブメントは、ゼロトラストモデルを導入することで防ぐことができます。たとえば、マイクロセグメンテーションを導入し、ゼロトラストネットワークアクセスサービスを利用することで、ユーザーごとにアクセスできるリソ�ースを制御することができます。たとえ攻撃者が単一のアプリケーションや環境にアクセスできたとしても、ネットワーク全体にアクセスすることはできません。
データの持ち出しを阻止:転送中のデータの中に機密データが含まれていないかをスキャンして移動をブロックするルールを適用するセキュアWebゲートウェイを活用することで、攻撃者がデータに到達できた場合でも、そのデータの最終的な盗難を防ぐことができます。
複雑さを追加することなくランサムウェアを防ぐ方法
州政府および地方自治体は、今後もランサムウェアの主要な標的になり続けることが想定されます。サイバー犯罪者は多くの場合、政府機関を、重要なサービスを復旧させるために身代金を支払う脆弱な組織と見なします。
Cloudflareのコネクティビティクラウドは、クラウドネイティブのサイバーセキュリティ機能を統合したプラットフォームを提供し、機関が包括的なランサムウェア防御を実装できるよう支援します。Cloudflareサービスを利用すると、単一の完全統合プラットフォームで、初期攻撃、悪意のあるダウンロード、ラテラルム��ーブメント、データ流出のすべてを阻止できます。これらの技術ソリューションは、プロセスの最適化と「人」の防御の強化に向けた取り組みの効率化にも役立ちます。Cloudflareは単一のインターフェースを通じてサービスを提供するため、チームはコストや複雑さを抑えながら、ランサムウェアやその他の脅威に対処できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
連邦政府機関がITを近代化する方法については、電子書籍『効率的なITへのシンプルな方法』をご覧ください。
著者
Dan Kent — @danielkent1
Cloudflare公共部門担当フィールドCTO
記事の要点
この記事では、以下のことがわかるようになります。
ランサムウェア攻撃の変化と、巧妙化の実態
政府機関に対するランサムウェア攻撃の主な侵入経路
ランサムウェア攻撃を防ぐための3つの鍵