壊滅的なランサムウェア攻撃の知られざる物語

ロブ・ミラーが初めて問題を耳にしたのは、2020年10月中旬のある日曜日の朝だった。イーストロンドンのハックニー区議会のデータベースとITシステムが障害に見舞われていたのだ。当時、英国は新型コロナウイルス感染症のパンデミックの第二波に見舞われ、何百万人もの人々がロックダウンによる制限下で生活し、日常生活が深刻な混乱に陥っていた。しかし、ハックニー区議会の戦略ディレクターであるミラーにとって、事態はさらに悪化するだろうと感じていた。「昼食時間までに、これは単なる技術的な問題ではないことが明らかになりました」とミラーは語る。 

2日後、ロンドンの32の地方自治体の一つであり、25万人以上の住民の生活を支えるハックニー区議会の幹部らは、サイバー攻撃を受けたことを明らかにした。ハッカー犯罪者がランサムウェアを仕掛け、区議会のシステムに深刻な障害を及ぼしたため、区議会は住民の福祉に支障をきたした。その後、ランサムウェア集団「Pysa」が攻撃の犯行声明を出し、数週間後には区議会から盗み出したデータを公開したと主張した。

2年以上が経った今も、ハックニー市議会はランサムウェア攻撃による甚大な被害に対処し続けています。約1年間、多くの市議会サービスが利用できなくなっていました。住宅手当の支給や社会福祉サービスなど、市議会の重要なシステムが正常に機能していませんでした。現在はサービスは復旧していますが、市議会の一部機能は依然として攻撃以前と同じように機能していません。

WIREDが数十件に及ぶ市議会の会議録、議事録、文書を分析した結果、ランサムウェアが市議会、そして何よりも市議会がサービスを提供する数千人の住民に及ぼした混乱の規模が明らかになりました。陰険な犯罪集団による攻撃の結果、人々の健康、住宅事情、そして財政が大きな打撃を受けました。ハックニーへの攻撃は、その深刻さだけでなく、組織が復旧し、困窮している人々を支援するまでに要した時間の長さにおいても、際立っています。

身代金要求

地方自治体は複雑な機械のようなものだと考えてみてください。数千人もの職員が、人々の生活のほぼあらゆる側面に関わる数百ものサービスを運営しています。こうした業務のほとんどは、何か問題が起きるまで気づかれません。ハックニーでは、ランサムウェア攻撃によってこの機械が停止してしまいました。 

ハックニー区議会が提供する数百ものサービスには、社会福祉・児童福祉、廃棄物収集、経済的支援を必要とする人々への給付金支給、公営住宅などが含まれます。これらのサービスの多くは、区内の技術システムとサービスを用いて運営されています。多くの点でこれらは重要なインフラとみなすことができ、ハックニー区議会は病院や電力会社と似たような存在と言えるでしょう。

「地方議会、学校、大学といった公共機関への攻撃は非常に強力です」と、RUSIシンクタンクでサイバーセキュリティと脅威を研究し、ランサムウェアの社会的影響を研究しているジェイミー・マコール氏は語る。「電力網がダウンしたり、水道が止まったりするような事態とは違いますが…日々の生活に不可欠なものなのです。」

2022年に行われたランサムウェア攻撃を評価する公開会議で、ミラー氏はハックニーのサーバーでホストされていたすべてのシステムが影響を受けたと議員らに語った。社会福祉、住宅給付、地方税、事業税、住宅サービスが最も大きな影響を受けた。データベースと記録にはアクセスできず、議会は身代金要求を一切支払っていない。「私たちのデータと、そのデータを作成していたITシステムのほとんどが利用できなくなり、私たちが提供できるサービスだけでなく、私たちの業務にも壊滅的な影響を与えました」と、ハックニー議会のデータ・インサイト・マネージャーであるリサ・スティドル氏は、昨年の議会の復興に関する講演で述べた。

プライバシーを理由に匿名を条件にハックニーに住む障害者の1人は、サイバー攻撃が最初に発生してから8カ月後の2021年6月末に社会福祉を申請したが、ケアプランの交付や介護士による訪問が始まったのは2022年2月だったと語る。「体を洗うことも、髪を洗うこともできませんでした」と彼らは語る。「そして、その遅延の理由はハッキングだと何度も言われました」。この人物は、最初の連絡から数カ月後に市議会から初めて連絡があったとき、担当の職員は、状況が明確でなく、案件の処理が遅れていたため、まだ生きていることに安堵したと回想している。

ランサムウェア攻撃以降、ハックニーの住民は独立した苦情委員会に対し、被害の深刻さを訴えてきた。サイバー攻撃とパンデミックの余波の中、ハックニーでは一時、約7,000件の住宅修理が滞っていた。2022年5月の住宅オンブズマンの報告書によると、ハックニー市は「深刻な行政不行き届き」により、ある住宅の「湿気、カビ、水漏れ」への対応に「大幅な遅延」をもたらしたとされている。ハックニー市はサイバー攻撃で記録を失ったものの、オンブズマンは市議会がメール（まだ閲覧可能）の確認や職員への聞き取り調査を十分に行わなかったと述べている。（市議会は、この攻撃により「住宅管理・修理データ、過去の記録の取得能力に影響が出ており、住民からの苦情を調査する能力も残念ながら阻害された」と述べている。） 

市議会は、騒音苦情の報告システムが機能していなかったことでも批判された。市税の滞納も発生していた。記録が入手できなかったため、住民からの苦情を適切に調査することもできなかった。市議会の報告書によると、住宅記録や住民からの書簡の消失により、攻撃後の最初の数ヶ月で市議会に「大量の」苦情が寄せられた。ある住民は1年以上もキッチンを使用できず、サイバー攻撃によって建築図面にアクセスできなくなったため、工事が一部遅延した。また、2022年7月には、ITVニュースが、ハックニーに住む7人家族が、市議会が住宅手当の支給額を更新できなかったため、自宅からの退去を余儀なくされたと報じた。

ハックニー区議会とハックニー区長のフィリップ・グランヴィル氏は、今回の襲撃が住民に与えた影響について謝罪した。オンブズマンの決定を受け、区議会は調査結果を受け入れ、「区内で最も弱い立場にある人々を支援できなかったこの犯罪行為の結果として影響を受けたすべての方々」に謝罪すると述べた。

ミラー氏は、今回の攻撃による壊滅的な被害は、市議会が運営する「重要なサービス」の多さと、ランサムウェア攻撃の危険性を浮き彫りにしていると指摘する。「私たちの活動はすべて、誰かにとって重要なものです」と彼は言う。「しかし、中には極めて深刻な事態もいくつかあります」。市議会は攻撃からの復旧作業において、高リスクの案件を優先したが、影響は依然として広範囲に及んでいるとミラー氏は指摘する。「時間の経過とともに、影響を受けた住民の数は減少しました。しかし、被害を受けた住民にとって、それは問題ではありません」 

ランサムウェアがハックニー区議会を襲撃して以来、区議会は英国国家犯罪庁（National Crime Agency）とデータ規制当局である情報コミッショナー事務局（ICO）による調査が進行中であり、罰金が科される可能性もあることを理由に、事件の技術的側面に関するコメントを拒否している。ICOは調査が継続中であるとし、完了の時期については明らかにしていない。 

近年、犯罪的なハッカーによる地方自治体や公共機関への攻撃が頻発しています。病院や医療従事者、市政府、そして国の政府全体が、冷酷なランサムウェア集団の攻撃を受けています。英国情報機関GCHQ傘下の国家サイバーセキュリティセンター（ハックニー・センターの支援も行った）のインシデント管理担当副所長、エレノア・フェアフォード氏は、ランサムウェアは公共サービスと企業の両方にとって「最も重大な」脅威だと述べています。 

「インシデントは、主要な業務遂行能力の阻害から財務への打撃まで、組織のあらゆる側面に影響を及ぼす可能性があり、その影響は短期的にも長期的にも感じられる」とフェアフォード氏は述べ、ランサムウェア対策に関するガイダンスを指摘した。今回のサイバー攻撃により、ハックニーは少なくとも1200万ポンド（1480万ドル）の損害を被り、複数のサービスで問題解決のための予算超過が報告されている。

ランサムウェア復旧会社Covewareのインシデント対応ディレクター、リジー・クックソン氏によると、昨年末の3ヶ月間で同社が確認したランサムウェアの被害者のうち、公共部門が13%を占めたという。「これはかなり高い数字です」とクックソン氏は述べ、公共サービスは資金不足やリソース不足に陥りやすいと付け加えた。公共部門への攻撃は、社会に計り知れないロングテールダメージをもたらし、数ヶ月から数年にわたって数千人が被害に遭う可能性がある。ミラー氏は、ハックニーへの影響は、ランサムウェア攻撃がいかに「有害」であるかを示していると指摘する。「ランサムウェアは顔が見えず、実際には大きな影響はないと考えるのは簡単ですが、実際には人間に影響を与えるのです」とミラー氏は語る。 

ハックニーの住民への影響に加え、サイバー攻撃は当然のことながら、ハックニー区議会の職員にも影響を与えています。ハックニー区議会の何百人もの職員は、データベースや事件ファイルへのアクセスがほとんど、あるいは全くない状況下で、混乱の中、住民の支援に努めてきました。「このようなインシデントが発生すると、関係者は多大なストレス、不安、動揺に見舞われる可能性があります」と、ハックニーの攻撃を追跡してきたサイバーセキュリティ企業Cygentaの共同CEO、ジェシカ・バーカー氏は述べています。バーカー氏は、技術的な復旧作業に携わる人々はストレスや燃え尽き症候群に陥る可能性があり、住民支援に携わる人々は業務に余分な時間を費やした可能性があると付け加えています。 

ハックニー児童家庭サービス局は、当初社会福祉管理システムと文書管理システムの被害を受けましたが、年次報告書の中で、攻撃が職員に与えた影響を認めました。パンデミックとランサムウェア攻撃により、「サービスの一部の部署で士気が低下している可能性がある」と述べています。また、「2020年10月のサイバー攻撃の負の影響は軽視できない」とも述べています。

ミラー氏は、ハックニー職員の対応を「誇りに思う」としながらも、職員にとって大変なことだったことを認めている。「人々が公務員になるのは、物事を正しく行いたいからです。住民や市民に必要なサービスを提供し、彼らの生活をより良くしたいのです」と彼は言う。「多大な努力を払わなければならない立場にいるにもかかわらず、通常期待されるよりも成果が出ていないことを自覚しているというのは、職員にとって本当に辛いことだと思います。彼らは、それが住民にとって何を意味するのかを真剣に考えています。」 

今後の道のり

多くの点で、ハックニー区議会は異例と言えるでしょう。ランサムウェアの被害者の大多数は、自分が受けた攻撃について語りません。彼らは不透明な「サイバーインシデント」や「高度な攻撃者」について言及するだけで、質問には答えようとしません。ハックニー区議会は、他の区議会よりも透明性が高いと言えるでしょう。

ハックニーの復興は困難でゆっくりとしたものだったが、ミラー氏によると、技術の近代化とサービスのクラウドホスティングへの移行を進めたおかげで、完全に機能停止することはなかったという。議会のメールシステム、メッセージングプラットフォーム、ウェブサイトは依然として機能していた。完全に紙とペンだけの作業に頼る必要はなかった。議会のリーダーたちは、事業計画を発表するための「サイバーゴールド」と呼ばれる緊急会議を毎日開催していた。復興期間中、パンデミックとランサムウェア攻撃への対応のための緊急会議も同時に開催されていたとミラー氏は語る。攻撃から1年後、議会はサービスはすべて復旧したものの、通常通りの稼働には至っていないと述べた。

ランサムウェアを専門とするセキュリティ企業Recorded Futureのアナリスト、アラン・リスカ氏は、復旧プロセスは多くの人が予想するよりも長くかかる可能性があると述べています。「少なくとも最初の数週間は、通常、スタッフが24時間体制で作業します」とリスカ氏は述べ、地方自治体が復旧するまでに6ヶ月かかる場合が多いものの、2年かかることも珍しくないと付け加えています。技術的に何が起こったのかを解明するための最初の駆け込みの後、バックアップ（もしあれば）を復元し、慎重に扱う必要があります。「復旧は、ランサムウェアがネットワークに再び侵入しないよう、慎重に行う必要があります」とリスカ氏は言います。 

ミラー氏によると、ハックニー市は児童福祉や社会福祉といった市議会のサービスを復興の最優先課題とした。サービスが影響を受けたにもかかわらず、「継続計画」のおかげで運営は継続され、スケジュールも適切に管理されていたため、路上にゴミが山積みになることはなかった。「決して簡単な作業ではありませんが、何とかやり遂げることはできます」とミラー氏は説明する。建築申請など、一部のサービスについては、住民に書類の再提出を指示した。

市議会の職員も、通常のシステムが導入されていない状況下で、様々な工夫を凝らして対応しました。住民から情報を収集するための臨時手段として、GoogleフォームとGoogleスプレッドシートが使用されました。住宅修理を担当する市議会職員は、紙に書かれた修理依頼書を山のようにコンピューターシステムに入力したと証言しています。臨時システムを使用した場合、ミラー氏によると、新たに収集したデータを恒久的なシステムに復旧させた際に、どのように組み込むかを検討することが重要だったとのことです。 

ミラー氏によると、自治体が提供しているサービスを中断させないようにすることで、復旧を困難にしてしまったケースもあったという。チームは、攻撃当時に申請されていた3万件の給付金の支払いを継続することを決定した。「すべての給付金の支払いを停止し、給付制度を復旧させてから再開する方が、事務的にはずっと簡単だったでしょう」とミラー氏は言う。「しかし、そうすると、人々は6ヶ月間も給付金を受け取れないことになります。」

ミラー氏によると、今回のサイバー攻撃により、ハックニー市はより多くのサービスを自社サーバーに直接ホスティングするのではなく、クラウドに移行するプロセスを加速させることができたという。ミラー氏は、市議会はシステムからリスクを排除しようとしており、マルウェアに感染する可能性が高いWindowsコンピューターの95%を廃止したと述べた。「データインフラを根本から再構築する必要がありました」と、ハックニーのデータ・インサイト・マネージャーであるスティドル氏は、2022年7月に行われた市議会サービスの再構築に関する講演で述べた。「すべてをクラウドに移行し、この危機を機会にしたいと考えていました。」

ミラー氏によると、2023年初頭の時点で、市議会のサービスの大部分は通常通り再開されているという。ハックニーのチームは依然として一部のデータの整理と再構築を行っているという。しかし、これは依然として問題が残っていないという意味ではない。1月18日時点の市議会のリスク登録簿では、サイバー攻撃の影響は「レッドリスク」に分類されているものの、その影響は減少しているとされている。ミラー氏は、最終的には地方自治体と公共部門の組織が、自らの組織に対する脅威の源を特定し、サイバーセキュリティを最優先に考え、潜在的なリスクを排除する必要があると指摘する。「住民への影響が私たちにとって重要であり、それが人々を支えてきたのです」と彼は言う。