ネバダ州ランサムウェア攻撃の概要
2025年8月にネバダ州を襲ったランサムウェア攻撃は、同年5月に州の従業員が偽装されたウェブサイトからマルウェアをダウンロードしたことが原因であったと、州が水曜日に発表したフォレンジックレポートで明らかになりました。州当局は身代金要求を拒否し、28日間の復旧期間を経て、影響を受けたデータの90%を回復することに成功しました。
攻撃の経緯と初期侵入
攻撃は、従業員が2025年5月14日にマルウェアをダウンロードしたことから始まりました。このマルウェアは州のコンピューターシステムに隠されたバックドアを仕掛け、6月26日にSymantec Endpoint Protectionによって隔離されるまで活動を続けていました。攻撃者は、標準アカウントおよび特権アカウントにリモート監視ソフトウェアをインストールし、リモートデスクトッププロトコル(RDP)を使用して重要なシステム間を移動し、機密ディレクトリにアクセスしました。この過程で、26のアカウントの認証情報が盗まれ、不正な動きの証拠を隠蔽するためにイベントログがクリアされました。
州の対応と復旧プロセス
ネバダ州は、身代金支払いの要求に応じないことを決定しました。この決定には、州が加入していた保険と、事前に交渉済みのベンダー契約が考慮されました。州の最高情報責任者であるティモシー・ガルーシ氏は、「脅威アクターは州のシステムをオフラインにする目的で攻撃を展開し、身代金を強要するために暗号化されたシステムとデータを回復する方法を記したメモを残しました」と報告書で述べています。
攻撃の影響と被害規模
この攻撃は、ネバダ州政府の60以上の機関に影響を及ぼし、保健福祉省、自動車局、公安省などの重要なサービスが被害を受けました。脅威アクターは26,400以上のファイルにアクセスし、さらに3,200のファイルが複数のシステムで露出した状態になりました。復旧にかかった費用は、Mandiant、Dell、Microsoft DART、Palo Alto Networks、Aerisなどの主要企業を巻き込んだ結果、約130万ドルに上りました。
攻撃の詳細と手口
2025年8月24日の攻撃中、脅威アクターはバックアップボリュームを削除し、ランサムウェアを展開して仮想マシンを暗号化しました。調査では、ファイルの抽出や情報がリークサイトに投稿されたという「決定的な証拠」は見つかりませんでしたが、元州職員のデータを含むファイルが盗まれたことが確認されており、その人物には通知が行われる予定です。
今後の課題と教訓
この攻撃は、州および地方政府がレジリエンスを維持し、緊急対応、公共安全、医療などの不可欠なサービスを提供し続ける上での課題を浮き彫りにしました。従業員へのセキュリティ意識向上トレーニングの重要性や、多層的なセキュリティ対策の必要性が改めて強調される結果となりました。