近年、官公庁や自治体では、ランサムウェアによる被害や標的型攻撃、フィッシング詐欺といったさまざまなセキュリティインシデントが報告されています。これらの攻撃は、重要な公共サービスの提供に影響を及ぼすだけでなく、市民の個人情報を危険にさらすことにもなりかねません。さらに、サイバー攻撃の進化に伴い、官公庁・自治体に求められるセキュリティ対策のレベルも高まっています。しかし、リソースや専門知識の不足が、適切な対策の実施を困難にしているのが現状です。

本記事では、官公庁・自治体で実際に起きたサイバー攻撃・インシデント事例と対策について解説いたします。

そもそもサイバー攻撃とは何か

サイバー攻撃とは、不正アクセス、ウイルスの拡散、ランサムウェアによるデータの人質化など、インターネットを介して行われる様々な悪意のある活動を指します。企業や団体の情報システムが攻撃の対象となることが多く、最近では官公庁や自治体もその標的とされています。これらの攻撃は、組織に対する金銭的損失、信頼の毀損、サービス提供能力の低下など、甚大な影響を与える可能性があります。

特に官公庁や自治体は、住民情報や機密情報などの重要なデータを多く扱っているため、サイバー攻撃のリスクは非常に高いです。例えば、経済産業省の報告によると、サイバー攻撃はランサムウェア攻撃や標的型攻撃など多岐にわたり、その手法は年々高度化しています 。また、情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威2024では、組織向け脅威としてランサムウェアによる被害が最も重要な脅威とされています 。

この背景には、デジタル化が進む社会において、官公庁や自治体も含めた組織がサイバー空間での脅威にさらされやすくなっていることがあります。サイバー攻撃者は金銭を目的とする犯罪集団から国家支援型の攻撃集団まで多岐にわたり、彼らの技術は日々進化しています。そのため、サイバー攻撃の防御は、単に技術的な対策だけでなく、組織全体でのセキュリティ意識の向上や、定期的な研修・教育が必要とされます。

セキュリティにおけるインシデントとは

セキュリティインシデントとは、組織の情報セキュリティポリシーに違反するか、または違反する可能性がある事件や状況を指します。これには、不正アクセス、情報の漏洩、サービス拒否攻撃(DoS攻撃)、ランサムウェアによるデータの人質化、内部からの情報の不正使用などが含まれます。官公庁や自治体では、個人情報や機密情報の管理に特に注意が必要であり、これらのインシデントが発生すると、公共のサービスに大きな支障をきたすことがあります。

例えば、被害事例の中には、公立病院がランサムウェア攻撃を受け、電子カルテが閲覧不可になり、新規患者の受け入れを停止せざるを得なかった事例があります。このような事例は、官公庁や自治体が提供するサービスの品質に直接影響を及ぼし、市民の生活や信頼に大きなダメージを与えます 。

セキュリティインシデントの対応には、予防、検出、対応、復旧の各フェーズがあります。まず、予防策としては、従業員への定期的なセキュリティ研修の実施、アクセス権限の適切な管理、ソフトウェアの定期的な更新とパッチ適用などが挙げられます。一方で、インシデントが発生した場合には、迅速に検出し、適切な初動対応を行い、事態の拡大を防ぐことが求められます。そして、復旧作業においては、被害の詳細な分析と記録の保存、原因の究明、再発防止策の策定が重要となります。

官公庁・自治体がサイバー攻撃の標的とされる理由

官公庁や自治体がサイバー攻撃の標的にされる主な理由は、これらの機関が持つ情報の重要性と影響力にあります。官公庁や自治体は、市民の個人情報、健康記録、経済データ、国家の安全保障に関わる機密情報など、高い機密性と重要性を持つ情報を多量に保管・管理しています。攻撃者は、これらの情報を悪用することで、金銭的利益を得ること、社会的混乱を引き起こすこと、政治的なメッセージを発信することなど、多様な目的を持っています。

また、官公庁や自治体は社会インフラの運営にも関与しており、これらのシステムへの攻撃は、水道、電力、交通などのライフラインに影響を及ぼす可能性があります。

官公庁や自治体は一般的に、高度なセキュリティ対策を講じていますが、組織の規模が大きく、多数の職員や複雑なシステムを持つため、セキュリティの死角が生じることがあります。加えて、予算や人材の制約により、最新のセキュリティ対策を迅速に実施することが難しい場合もあります。このような背景から、攻撃者は官公庁や自治体を狙った標的型攻撃を仕掛け、セキュリティの隙間を突くことがあります。

さらに、社会に与える影響の大きさや、情報の価値が高いため、国家支援を受けた攻撃集団による標的型攻撃のリスクも指摘されています。これらの攻撃集団は、高度な技術と戦略を持ち、長期間にわたって慎重に攻撃を計画・実行することができます。

官公庁・自治体で実際に起きたサイバー攻撃・インシデント事例

官公庁や自治体が直面するサイバー攻撃やインシデントは、その種類も手法も多岐にわたります。これらの事例を学ぶことは、将来的な脅威に備える上で非常に重要です。以下に、いくつかの注目すべき事例を紹介します。

発表日付企業名概要
2024年2月大阪市福祉局
※参照:大阪市
大阪市福祉局は、障がい福祉サービス事業所等宛ての事務連絡を行う際に誤って個人情報が記載されたファイルなどを添付送信し、7,468人の個人情報が漏洩した。個人情報には氏名、住所、一部に電話番号や生年月日も含まれていた。
2024年2月 宮崎県東諸県郡 綾町役場
※参照:綾町役場
綾町で2件の個人情報漏えい事案が発生した。1件は町民の情報がホームページに不適切に公開され閲覧できる状態になっていた事案、もう1件は介護情報を誤ったFAX番号へ送信してしまった事案。両事案に関して再発防止に取り組んでいる。
2024年2月
 鹿児島県出水市

※参照:鹿児島県出水市HP
鹿児島県出水市で、第三者が市が管理するメール中継サーバに不正アクセスし、特定のメールアカウントを不正利用して出水市の教育機関宛にスパムメールを送信した事案が発生した。この不正アクセスは2024年2月14日から15日にかけて行われ、結果として129,975件のスパムメールが送信された。
2024年3月山口県山口市
※参照:山口市 報道資料
山口県山口市は3月5日に、やまぐちサッカー交流広場で個人情報漏えいの可能性があると発表した。3月2日、施設職員がインターネット閲覧中に警告を受け、指示に従って操作した結果、パソコンが使用不能になり、サーバーへの不正アクセスにより個人情報が漏えいした可能性がある。漏えいの可能性がある情報は、120人分の氏名、住所、年齢、生年月日、電話番号を含む。
2024年3月淀川河川公園管理センター
-大阪府
※参照:国土交通省 近畿地方整備局
大阪府の淀川河川公園管理センター運営の「よどいこ!」で新規サーバーへの不正アクセスが発覚。2024年3月1日のシステム改修時に発生し、約3万4000名の利用者情報流出の可能性がある。影響を受ける情報には氏名、生年月日、性別、住所、電話番号、メールアドレス、銀行口座、ログイン情報が含まれ、メールアドレスと銀行口座は暗号化されているものの、他の情報は非暗号化の状態であった。現在専門家による調査が進行中。
アクトのサイバーセキュリティサービス

官公庁・自治体のサイバーセキュリティ対策

官公庁や自治体が直面するサイバーセキュリティの脅威は、絶えず進化しています。これに対抗するため、彼らは様々なセキュリティ対策を講じています。以下では、これらの対策の中から特に重要なものをいくつか紹介します。

セキュリティ意識向上への取り組み

官公庁や自治体では、職員のセキュリティ意識を高めるための研修や教育プログラムを実施しています。これには、フィッシングメールの識別方法、パスワードの強固な作成方法、不審な行動や通信の報告プロトコルについての知識が含まれます。強力なセキュリティ体制を構築するには、技術的な対策だけでなく、職員一人ひとりの意識向上が欠かせません。

総務省による官公庁・自治体向けセキュリティガイドライン

総務省は、官公庁・自治体向けに具体的なセキュリティ対策のガイドラインを提供しています。これには、ネットワークのセキュリティ強化、システムの定期的な監査、脆弱性対策の迅速な実施などが含まれます。また、緊急時の対応計画や、インシデント発生時の報告ルートの明確化も推奨されています。これらのガイドラインに従うことで、官公庁や自治体はシステムとデータの保護を強化することができます。

ITシステムのセキュリティ強化

官公庁や自治体では、ファイアウォールや侵入検知システム(IDS)、侵入防御システム(IPS)などのセキュリティ技術を導入し、外部からの攻撃を防ぐための体制を整備しています。また、エンドポイントセキュリティの強化、暗号化技術の利用、二要素認証の導入など、データの安全性を保つための対策も講じられています。

インシデント対応体制の構築

サイバー攻撃やセキュリティインシデントが発生した場合に備え、官公庁や自治体は迅速かつ効果的に対応できる体制を整えています。これには、インシデント対応チーム(CSIRT)の設置、対応計画の策定、職員や関係機関との連携強化が含まれます。インシデントが発生した際には、影響範囲の特定、原因の究明、再発防止策の策定など、段階的に対応を進めています。

官公庁・自治体は、これらの対策を継続的に見直し・強化することで、サイバーセキュリティの脅威に対抗しています。セキュリティ対策は一度きりの取組みではなく、新たな脅威が現れるたびに更新される必要があります。これらの取り組みにより、官公庁・自治体は、市民の信頼を守り、安全なサービス提供を目指しています。

官公庁・自治体のセキュリティインシデント対応

サイバーセキュリティインシデントは、いつどのような形で発生してもおかしくない状況にあります。官公庁や自治体では、インシデントが発生した際の迅速かつ効果的な対応が、信頼の維持とサービスの連続性保護に直結します。ここでは、官公庁・自治体が取り組むべきセキュリティインシデント対応の基本的な流れと具体的な対策を紹介します。

インシデント対応のフェーズ

  1. 準備: インシデントレスポンスプランの策定と、インシデント対応チーム(IRT)の設置が必要です。IRTは、様々な部門の専門家で構成され、彼らがインシデント対応の主体となります。また、職員に対する定期的なトレーニングを実施し、インシデント発生時の役割と責任を明確にします。
  2. 検出と報告: インシデントの早期検出のために、ネットワークやシステムのモニタリングを強化します。発見された異常やセキュリティ違反は、即座にIRTへ報告されます。
  3. 分析と評価: IRTは、報告されたインシデントの詳細を分析し、影響範囲や深刻度を評価します。このプロセスには、侵害されたシステムの特定、攻撃手法の解析、被害の範囲の特定などが含まれます。
  4. 封じ込めと除去: 分析を基に、IRTはインシデントの封じ込め策を実施します。これには、感染したシステムの隔離、攻撃者のアクセス経路の遮断、マルウェアの除去などが含まれます。この段階での目標は、インシデントの拡大を防ぎ、被害を最小限に抑えることです。
  5. 復旧: システムやデータの復旧作業を行います。安全が確認された後、影響を受けたサービスや機能を段階的に再開します。
  6. 事後分析と報告: インシデントの原因を徹底的に分析し、再発防止策を策定します。また、インシデントの経緯、対応の詳細、学んだ教訓などを文書化し、関係者や上層部に報告します。必要に応じて、外部の関係機関やパートナー組織と情報を共有します。

連携とコミュニケーション

インシデント対応では、内部の連携はもちろん、他の官公庁、自治体、セキュリティ専門機関との情報共有が重要です。特に、類似のインシデントが他の組織で発生している場合、その情報を共有することで、より効果的な対応が可能になります。

官公庁・自治体のセキュリティインシデント対応は、事前の準備と計画が鍵を握ります。インシデントが発生した際には、迅速かつ的確な対応が求められるため、日頃からの準備と訓練が不可欠です。

アクトのサイバーセキュリティ対策支援

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。