ペンシルベニア州司法長官事務所は、2025年8月のサイバー攻撃を行ったランサムウェア集団が、個人情報および医療情報を含むファイルを盗み出していたことを確認しました。
これは、デイブ・サンデー司法長官が9月初旬に今回のインシデントがランサムウェア攻撃であると確認し、侵害されたシステムを暗号化したサイバー犯罪者から要求された身代金の支払いを事務所として拒否した後の発表です。
「OAG(司法長官事務所)は後に、特定のファイルが不正にアクセスされた可能性があることを把握しました。OAGは、どのデータが関与した可能性があるかを精査し、一部のファイルに特定の個人情報が含まれていたことを確認しました」と、ペンシルベニア州司法長官事務所(OAG)は金曜日のプレスリリースで述べました。
「OAGによる対象データの精査に基づくと、一部の個人については、氏名、社会保障番号、および/または医療情報が含まれていた可能性があります。」
8月9日に侵害が発見された際、脅威アクターはペンシルベニア州OAGのネットワーク上のシステムとサービスを停止させ、事務所のウェブサイト、職員のメールアカウント、固定電話回線などをダウンさせるなど、広範かつ壊滅的な影響を与えました。
ペンシルベニア州OAGは、ネットワークがどのように侵害されたかについて詳細をまだ公表していませんが、サイバーセキュリティ専門家のケビン・ボーモント氏は、ペンシルベニア州司法長官事務所のネットワークに、重大な脆弱性(CVE-2025-5777)を悪用する継続中の攻撃に対して脆弱な、複数のパブリック向けCitrix NetScalerアプライアンスが存在していたことを突き止めました。この脆弱性はCitrix Bleed 2として知られています。
ボーモント氏によると、2台のデバイスのうち1台は7月29日以降停止しており、もう1台は8月7日以降オフラインになっているとのことです。
INC Ransomによる犯行声明
ペンシルベニア州OAGは、この侵害を特定のランサムウェアオペレーションに公には帰属させていませんが、INC Ransom集団は9月20日に、自らのダークウェブ流出サイトに新たなエントリとして追加することで、この攻撃の犯行を名乗り出ました。
当時、このランサムウェアグループは、ペンシルベニア州OAGのネットワークから5.7TB分のファイルを盗み出したと主張し、この侵害によってFBIの内部ネットワークへのアクセスも得られたと述べていました。
INC Ransomは、2023年7月にサービスとしてのランサムウェア(RaaS)オペレーションとして表舞台に現れて以来、世界中の民間および公共部門の組織を標的にしてきました。
その被害者リストは、教育、医療、政府機関から、ヤマハモーターフィリピン、スコットランドの国民保健サービス(NHS)、食品小売大手Ahold Delhaize、および米国法人のXerox Business Solutions(XBS)といった企業にまで及んでいます。
ペンシルベニア州の公的機関がランサムウェア攻撃で侵害されるのはこれが3度目です。2020年にはデラウェア郡が、暗号化されたシステムを復旧するため、DoppelPaymerによる攻撃の後に50万ドルの身代金を支払いました。また2017年には、ランサムウェア攻撃によりペンシルベニア州上院民主党議員団のネットワークがダウンしました。
