本日は建設消防委員会がありました。
その中で、報告事項として、倉敷市業務委託先が、ランサムウェア(身代金ウィルス)によるサイバー攻撃を受けたことが報告されました。
ランサムウェア(身代金ウィルス)
詳しくは、本日に市ホームページにて公表されました。ご参照下さい。
https://www.city.kurashiki.okayama.jp/item/142781.htm#itemid142781
委託先のファイルサーバーに保存されていた業務関連データの多くが、暗号化されロックがかけられたようで、専門家を含めて原因・被害状況の調査及び対応策を検討しております。
4件の事業のファイルが被害にあったようですが、3件では情報流失はなく残り1件は確認中です。ただ内容は法務局に行けば誰でも閲覧できる情報で、いわゆる機微情報ではないようですが、一歩違えば大事故につながる可能性を含みます。
恐ろしいと思ったのは、攻撃されたのが業務委託先で、市のシステムを守ったのでは十分ではないこと。
またランサムウェアで、身代金を払わないとロックが解除できず、市の業務が滞ることです。(それが向こうの狙いなのですが)
自治体委託先へのサイバー攻撃は他にも
8月から自治体の委託先を標的にした事件は報告されていました。
市川市:「市川市、委託先がサイバー攻撃被害 データ流出は確認中」
https://nordot.app/801624256258080768
東京都:「都の業務委託先にサイバー攻撃 複数自治体、データ流出か」
https://news.yahoo.co.jp/articles/9690443c854c0b0bece7bcf3e0b542a5fe54b27d
倉敷市は東京都と同じコンサル大手の会社に委託しており、倉敷市が個別に狙われたというより、複数の自治体から受注している(公的な影響が大きい)その会社が狙われたというのが実態かもしれません。
8月15日に発生した事件にしては、公表が遅いと思われますが、機微情報を含まない内容と思われたので調査を優先させたとのこと。個別事例として検討すれば、ただちに間違っているとは言えないかもしれませんが、市川市のように「調査中」として公表する仕方もあります。執行部の情報公開に対しての考え方として、今後の参考にします。
海外では頻繁に発生中
身代金要求のランサムウェアというと、5月に米国の原油パイプライン (コロニアルパイプライン) で起こったシステム停止が思い出されます。ガソリンやディーゼル燃料の供給が止まり、局地的に大混乱に陥りました。攻撃を受けた企業は、要求された440万ドル(約4億8千万円)の支払いに応じたとされます。(大半と取り返したとの報道もあり)
https://wired.jp/2021/05/10/colonial-pipeline-ransomware-attack/?utm_source=yahoo.co.jp_news&utm_campaign=yahoo_ssl&utm_medium=referral
その他、欧米では医療系企業を攻撃し、病院の医療行為を止めるという邪悪な事例もあるようです。
今後の課題
今回は、委託先が建設分野のコンサルタントであったからいいようなものの、たとえば給付金支給に纏わる行政の分野等は機微情報のかたまりです。外部委託事業があるのかは要確認ですが、そうした情報を盾に取られたら、身代金要求に抗し続けることは難しいかもしれません。
委員会に出席していた副市長に、外部委託先のセキュリティ体制の確認と、体制強化の指示出しを要請しました。副市長は、市長も事態を重く受け止めており既に対応中である、とのことでした。
市の業務の外部委託はこれからも必要に応じて進めなければなりませんが、こうした委託先での情報セキュリティの確保を同時に図らなければなりません。大きな課題として受け止めなければなりません。
以上
その中で、報告事項として、倉敷市業務委託先が、ランサムウェア(身代金ウィルス)によるサイバー攻撃を受けたことが報告されました。
ランサムウェア(身代金ウィルス)
詳しくは、本日に市ホームページにて公表されました。ご参照下さい。
https://www.city.kurashiki.okayama.jp/item/142781.htm#itemid142781
委託先のファイルサーバーに保存されていた業務関連データの多くが、暗号化されロックがかけられたようで、専門家を含めて原因・被害状況の調査及び対応策を検討しております。
4件の事業のファイルが被害にあったようですが、3件では情報流失はなく残り1件は確認中です。ただ内容は法務局に行けば誰でも閲覧できる情報で、いわゆる機微情報ではないようですが、一歩違えば大事故につながる可能性を含みます。
恐ろしいと思ったのは、攻撃されたのが業務委託先で、市のシステムを守ったのでは十分ではないこと。
またランサムウェアで、身代金を払わないとロックが解除できず、市の業務が滞ることです。(それが向こうの狙いなのですが)
自治体委託先へのサイバー攻撃は他にも
8月から自治体の委託先を標的にした事件は報告されていました。
市川市:「市川市、委託先がサイバー攻撃被害 データ流出は確認中」
https://nordot.app/801624256258080768
東京都:「都の業務委託先にサイバー攻撃 複数自治体、データ流出か」
https://news.yahoo.co.jp/articles/9690443c854c0b0bece7bcf3e0b542a5fe54b27d
倉敷市は東京都と同じコンサル大手の会社に委託しており、倉敷市が個別に狙われたというより、複数の自治体から受注している(公的な影響が大きい)その会社が狙われたというのが実態かもしれません。
8月15日に発生した事件にしては、公表が遅いと思われますが、機微情報を含まない内容と思われたので調査を優先させたとのこと。個別事例として検討すれば、ただちに間違っているとは言えないかもしれませんが、市川市のように「調査中」として公表する仕方もあります。執行部の情報公開に対しての考え方として、今後の参考にします。
海外では頻繁に発生中
身代金要求のランサムウェアというと、5月に米国の原油パイプライン (コロニアルパイプライン) で起こったシステム停止が思い出されます。ガソリンやディーゼル燃料の供給が止まり、局地的に大混乱に陥りました。攻撃を受けた企業は、要求された440万ドル(約4億8千万円)の支払いに応じたとされます。(大半と取り返したとの報道もあり)
https://wired.jp/2021/05/10/colonial-pipeline-ransomware-attack/?utm_source=yahoo.co.jp_news&utm_campaign=yahoo_ssl&utm_medium=referral
その他、欧米では医療系企業を攻撃し、病院の医療行為を止めるという邪悪な事例もあるようです。
今後の課題
今回は、委託先が建設分野のコンサルタントであったからいいようなものの、たとえば給付金支給に纏わる行政の分野等は機微情報のかたまりです。外部委託事業があるのかは要確認ですが、そうした情報を盾に取られたら、身代金要求に抗し続けることは難しいかもしれません。
委員会に出席していた副市長に、外部委託先のセキュリティ体制の確認と、体制強化の指示出しを要請しました。副市長は、市長も事態を重く受け止めており既に対応中である、とのことでした。
市の業務の外部委託はこれからも必要に応じて進めなければなりませんが、こうした委託先での情報セキュリティの確保を同時に図らなければなりません。大きな課題として受け止めなければなりません。
以上
