フィンランドの首都であり最大の雇用主でもあるヘルシンキ市で発生し、30万人超の機微な個人データを漏えいさせた2024年のデータ侵害は、サイバーセキュリティ専門家にとって貴重な教訓を提供している。
この事件は、フィンランド安全調査当局(SIAF/OTKES)による1年にわたる調査の対象となり、同当局は2025年6月17日に技術報告書を公表した。
フィンランド国家サイバーセキュリティセンター(NCSC-FI)の上級スペシャリストであるマティアス・メシアは、侵害からの復旧を支援した同機関のタスクフォースを率いた。
6月23日にコペンハーゲンで開催されたFIRSTCONでは、事件に関する知見と、侵害を封じ込めて被害を軽減するために用いられた戦略を共有し、同様のサイバーセキュリティ課題に直面する人々に実践的な指針を提供した。
ヘルシンキの2024年データ侵害に関する知見
約4万人の職員を抱えるヘルシンキは、フィンランドの首都であり最大の都市で、同国人口の12%(2025年3月時点で686,595人)を惹きつけるだけでなく、国内最大の雇用主でもある。
4月30日午後11時30分、ヘルシンキ市の関係者が、データ侵害の可能性についてNCSC-NIに報告を提出した。翌日の初期の報道を受け、ヘルシンキ市は5月2日に公表し、侵害が組織の教育部門(KASKOとして知られる)に影響したと述べた。
ヘルシンキ市、NCSC-FI、および民間のデジタル・フォレンジック/インシデント対応(DFIR)パートナーによる調査開始から数日以内に、感染した機器が特定された。
それは、KASKOがVPN接続の受信ルーターとして使用していたCisco ASA 5515のファイアウォール機器だった。このハードウェアは2014年に設置され、最後の更新は2016年だった。2017年には、この機器を担当していた人々が組織を離れていた。
攻撃者の手口も、調査の早い段階で特定された。まずブルートフォース攻撃が行われ、その後、Cisco AnyConnectソフトウェアを利用して、ユーザーのコンピューターとルーター間のリモート接続を介した脆弱性悪用が続いた。機器がクラッシュし、ダークウェブで見つかった認証情報でログインしていた攻撃者は、内部システム内を横展開して、Microsoft Active Directory、仮想化サーバー、バックアップサーバーへの特権アクセスを獲得し、データを窃取した。
ヘルシンキ市は、データ量が相当であること(約1,000万件の文書、または2TBのデータが盗まれた)を迅速に把握した一方で、当初は影響を受ける可能性のある人数を12万人と見積もり、その後15万人、さらに30万人超へと再評価した。
被害者には、市職員、保育給付の申請者、私立学校の職員、統合研修の受講生、2005年から2018年生まれの生徒とその親族など、幅広い人々が含まれていた。
「早い段階で、パスワードは侵害されておらず、身代金要求も出ていないことが分かっていました」と、メシアはFIRSTCONでの講演で述べた。
また、今日に至るまで帰属(アトリビューション)は行われていない。「警察当局はまだこの件を捜査中です」と、メシアはセッション後にInfosecurityに語った。
インシデント対応プロセスにおけるNCSC-FIの役割
ヘルシンキのデータ侵害は、NCSC-FIが最も高い関与レベルで対応した18件の事案の一つで、同機関はこれを「特別事案」と呼んでいる。
NCSC-FIは2024年5月9日にヘルシンキ市への支援を開始し、2024年6月まで10〜20人の職員を割り当てた。そのうち半数は技術的な復旧措置に注力し、残りはコンプライアンス、コミュニケーション、データ侵害報告などの各種タスクに従事した。
さまざまな貢献の中で、NCSC-FIはヘルシンキ市に対して調査に関する助言を行い、記者会見の計画を支援し、カスタムシナリオを提供し、2024年5月末にはフィンランドの自治体の経営陣とセキュリティ専門家を集めた専門家セミナーを調整した。
2024年5月30日、NCSC-FIの職員は、5つの領域を扱う内部の「教訓抽出(lessons learned)」セッションを実施した。これは後に、特別事案に関連するNCSC-FIのインシデント対応アプローチを、次の5つのドメインでどのように発展させるかという形になった:
- 組織、調整、リーダーシップ
- 事案調整
- 技術的対策
- コンプライアンスおよび法的要件
- 危機コミュニケーション
NCSC-FIのメンバーは、メシアがFIRSTCONで「落ち着いた」と表現した6月末まで、ヘルシンキ市に対してIT技術面の助言を継続した。
「また、サイバー危機コミュニケーションの管理方法に関する40ページの文書も公開しました」と、メシアは付け加えた。
2024年7月、SIAFは独自のフォレンジック調査を開始した。
得られた教訓と今後の展開
Infosecurityに対し、メシアはヘルシンキの事案から得た上位3つの学びを共有した:
- エッジデバイスの侵害を伴うサイバーインシデント、特に未パッチ適用または旧式のものが関与する場合は、重大インシデントとして扱うべきである
- 組織は、インシデント対応と事業継続プロセスのロジスティクスに備えるべきであり、使用するコミュニケーションツールの選定や運用テンプレートの整備を含めて準備する必要がある
- 組織は、過去のサイバーインシデント経験者と未経験者の双方を含むなど、異なるプロファイルの人材をタスクフォースに組み込むべきである
さらに講演の中で、NCSC-FIの上級スペシャリストは、インシデント対応者に向けた個人的なヒントもいくつか共有した:
- チャットをクリーンに保つ――ミーム禁止、雑談禁止
- 協力し、タスクを委任する
- タイムラインを使う(特に、何が起きている/起きたのかを経営陣に説明するために)
- ネットワークを何度も何度もスキャンする
- インシデントに関する情報を自分たちの内輪の外へ共有する――組織全体や一般公開へ。そうしないと、誰かが情報の空白を埋めてしまう
- 情報は慎重に扱う
- 政治とメディアを尊重する
最後にメシアはInfosecurityに対し、ヘルシンキの事案を受けて、サイバーインシデントの帰属(アトリビューション)に関する新たな3段階の制度をNCSC-FIが策定中であると述べた。これは、同機関がどれだけの労力を投入すべきか――ひいては、何人のNCSC-FI要員がその事案に従事すべきか――を判断するためのものだ。
まだ開発中ではあるが、この枠組みではインシデントを3つの優先度レベルに分類できる可能性がある。すなわち、中優先度(少数のNCSC-FI職員が対応)、高優先度(最大10人のNCSC-FI要員が対応)、そして重大優先度(10人超のNCSC-FIが時間を割いて復旧に当たる)である。
「来年のFIRSTCONで、この今後の枠組みを紹介するための良いプレゼンテーションを用意できると思います」と、メシアは述べた。
翻訳元: https://www.infosecurity-magazine.com/news/helsinki-ncscfi-major-data-breach/
