複数のロンドン区議会を標的とした協調型サイバー攻撃：現時点で判明していること

速報: 複数のロンドン自治区議会が、協調して行われたとみられるサイバー攻撃を受けており、地方自治体における共有ITインフラの安全性に深刻な疑問が投げかけられています。

事件の概要

2024年11月25日（月）、少なくとも4つの主要なロンドン区議会が、週末からサービスに障害を引き起こしていたサイバーセキュリティインシデントへの対応中であることを認めました。影響を受けている当局は以下の通りです。

ケンジントン・アンド・チェルシー王立区（RBKC）
ウェストミンスター市議会
ハマースミス＆フラム区議会
ハックニー区議会

これらの攻撃のタイミングと連動性から、ロンドンの地方自治体全体にまたがる共有ITインフラの弱点を狙った、洗練された複数標的型キャンペーンであることが示唆されています。

今回のインシデントで重要な要素となっているのが、これらの議会間に存在する相互接続されたITインフラです。RBKC、ウェストミンスター市議会、ハマースミス＆フラムは、コスト削減を目的とした「トライバラ共有サービス体制」の一環として、2011年からITサービスを共有してきました。内部メモによると、今回のインシデントはケンジントン・アンド・チェルシー区議会で発生し、その後共有インフラを通じて他の当局へと広がったとされています。この共有インフラモデルは大きなコスト削減効果を生んだ一方で、1つのシステムが侵害されると、相互接続された他の当局へ横方向に移動できてしまう危険な単一障害点を生み出しており、合計50万人以上の住民にサービスを提供する当局が一斉に影響を受ける事態となりました。

チェック・ポイント社の公共部門責任者グレーム・スチュワート氏によれば、この状況は深刻な侵入の明確な兆候を示しています。「ここで起きていることは、深刻な侵入の典型的な兆候をすべて備えています。複数の自治区がオフラインになり、共有インフラがさらされ、職員にはパートナー議会からのメールを開かないよう緊急の内部警告が出ている。これは、攻撃者が認証情報を入手したか、共有環境内で横方向に移動しているときの典型的な振る舞いです。」

検知と封じ込め

RBKCとウェストミンスター市議会は月曜朝に素早くインシデントを検知し、直ちにインシデント対応プロトコルを発動しました。両議会は以下の対応を行っています。

インシデントを国家サイバーセキュリティセンター（NCSC）に報告
情報コミッショナーオフィス（ICO）に通知 — これは通常、データ侵害の疑いがある場合に行われる措置（ただし注目すべき点として、火曜の夜時点でICOはインシデント報告を受けていないと述べており、タイムラインに懸念すべき食い違いが生じています）
専門のサイバーインシデント対応のエキスパートを招集
事業継続計画および緊急対応計画を発動

ウェストミンスターの積極的な防御姿勢

ウェストミンスター市議会は、サイバーセキュリティインシデント発生後の予防措置として、最も積極的な防御行動を取り、すべてのネットワークを遮断しました。この断固とした対応はサービスに混乱をもたらす一方で、侵害範囲が不明な状況においては適切なインシデント対応手順を示すものです。

ハックニーの警戒レベル引き上げ

2020年に壊滅的なランサムウェア攻撃を受けたハックニー区議会は、サイバーセキュリティの脅威レベルを「クリティカル（重大）」に引き上げ、フィッシング攻撃に関する緊急の内部警告を発出しました。職員に送られたメモには次のように記されています。「過去24〜48時間の間に、複数のロンドン区議会がサイバー攻撃の標的となり、システムやサービスに潜在的な障害が発生しているとの情報を入手しました。議会および住民のデータを守るため、皆さんの即時の協力が不可欠です。」

サービスへの影響

今回の攻撃により、影響を受けた議会では複数のシステムに障害が発生しています。

電話システム が複数拠点でダウン
メールシステム が侵害されている、もしくは監視下に置かれている
住民向けウェブサイト の機能が限定的
住民対応サービス が大幅に低下しており、コールセンターや「Report It」のようなオンラインツールも含めて影響
RBKCのシステムは、一部情報によれば2〜3日間ダウンしていると報告されています

復旧見通し：ウェストミンスター市議会は、影響を受けたシステムが完全に復旧するのは週末になる可能性が高いと示唆しており、ハマースミス＆フラムは、RBKCがネットワークの安全性を保証できるようになるまで、接続性の問題が数日間続く可能性があると警告しています。

重要なサービスについては緊急プロトコルにより維持されており、各議会は最も脆弱な住民への支援を優先しています。ITチームは、緩和策の実装のために夜通し作業を行ったと報じられています。

攻撃パターン

攻撃主体の特定は現在も調査中ですが、サイバーセキュリティ専門家は複数の懸念すべき兆候を指摘しています。

1. タイミングの連動性と発生源

複数の議会が24〜48時間の間にインシデントを経験しており、内部メモではケンジントン・アンド・チェルシー区議会で発生したインシデントがその後拡大したと示されていることから、次の点が示唆されます。

トライバラ共有インフラ内の共通の脆弱性が悪用された可能性
初期侵害地点から相互接続されたシステムを通じて、横方向の移動に成功した可能性
共有サービスプロバイダーに影響するサプライチェーンの侵害の可能性
2011年のトライバラ共有サービス体制が、影響を増幅させる単一障害点を生み出していたこと

2. 横方向移動の能力

職員に対し、パートナー議会からのメールを開かないよう警告する内部通知が出されていることから、攻撃者は以下のような状況にある可能性があります。

共有ネットワーク全体で認証情報を侵害している
複数の環境に永続的な侵入基盤を確立している
正規に見える通信を用いてビジネスメール詐欺（BEC）攻撃を行う能力を持っている

特に、ハマースミス＆フラムの内部メモでは、OutlookやTeamsアカウントでケンジントン・アンド・チェルシー区やウェストミンスター市議会の職員から送信されたリンクを「当面の間」クリックしないよう職員に強く求めており、これらのコミュニケーションチャネルが侵害された疑いがあることを示しています。

3. 急速なエスカレーションの可能性

チェック・ポイントのスチュワート氏は次のように述べています。「これほど早い段階でサービスを停止する決断は、過剰反応ではありません。これは、暗号化やデータ窃取に発展する可能性を疑っていることを示しています。議会は極めて機微な情報を抱えています。ソーシャルケアの記録、身分証明書、住宅記録など、標的型詐欺や恐喝に必要なあらゆる情報が含まれています。」

歴史的背景：ハックニーの前例

ハックニー区議会が今回の件に関与していることは、2020年に同区が経験したランサムウェア攻撃のトラウマ的な経緯を踏まえると、特に重要です。当時のインシデントでは以下のような結果が生じました。

44万件のファイルが暗号化された
少なくとも28万人の住民および職員に影響
攻撃者によって9,605件の記録が流出
復旧に数百万ポンドの費用がかかり、サービスの混乱は2022年まで続いた
2024年には不十分なセキュリティ対策によりICOからの叱責を受けた

情報コミッショナーによる調査では、「個人データを保護するための適切なセキュリティおよびプロセスが欠如している例」が見つかり、ユーザー名とパスワードが同一の休眠アカウントなど、基本的なセキュリティの不備が指摘されました。

英国地方自治体におけるより広範なサイバー危機

今回のインシデントは、英国の地方当局を襲っている不穏なトレンドの一部です。

攻撃件数の増加

英国の地方議会に対するサイバー攻撃は、2022〜2023年の間に24%増加
個人データ侵害は同期間に58%急増
161の議会が、2022年だけで230万件以上のサイバー攻撃に直面
ハマースミス＆フラム区議会は、1日に約2万件の攻撃試行を受けていると報告

2024年の主なインシデント

レスター市議会（3月）：ランサムウェア攻撃によりITシステムと電話回線が停止し、Inc Ransomグループによって機密データがオンライン上に公開された
Locata Housing Services（8月）：サプライチェーン攻撃により、マンチェスター、ソルフォード、ボルトンの各議会の住宅関連ウェブサイトが影響を受けた
ケントの各議会（複数）：今年初め、隣接する3つの議会が同時に標的となった

システム上の脆弱性

最近の調査や報告によると、次のような状況が明らかになっています。

3分の2の上級議会幹部が、自らのサイバーセキュリティ対策を「時代遅れ」と認めている
4分の1超が、サイバーセキュリティ改善に「全く進展がない」と報告
多くの議会が、最新のセキュリティ機能を欠いたレガシーシステムを運用
予算制約により、予防的対策ではなく事後対応に追われる状況に

技術的分析：なぜ議会は脆弱なのか

1. レガシーインフラ

地方議会はしばしば、老朽化したITシステムやサポート終了ソフトウェアに依存しており、これらは次のような問題を抱えています。

最新のセキュリティ機能を欠いている
セキュリティパッチを受け取れない
現行のセキュリティツールと互換性がない
長年にわたり「つぎはぎ」で維持されてきた結果、保守が極めて複雑

2. 予算制約

財政的な制約により、議会は次のような点で大きく制限を受けています。

専門のサイバーセキュリティ人材の採用
包括的なセキュリティ監視（24時間365日のSOC運用）の実施
レガシーシステムの刷新
事後対応ではなく予防的対策への投資

3. 共有サービスモデルのリスク

共有サービスは英国地方自治体に13億ポンド超の効率化効果をもたらしている一方で、次のようなリスクも生み出しています。

複数の当局に影響する単一障害点の形成
攻撃対象領域の拡大
セキュリティ監督および責任の所在の複雑化
相互接続されたシステム間での横方向移動を容易にする

4. 高価値ターゲットとしての特性

議会が魅力的な標的となる理由は次の通りです。

ソーシャルケア、住宅、財務記録、身分証明書など、膨大な機微情報を保有している
サービスが重要であるため、中断が発生すると身代金支払いへの圧力が高まる
民間企業と比べて成熟したセキュリティプログラムを欠いていることが多い
日々の業務プレッシャーが大きく、セキュリティが後回しになりがち

5. 人的要因の脆弱性

サイバーインシデントを経験した英国組織の83%がフィッシングの影響を受けている
議会職員は多様な機微情報を扱っており、多数の攻撃ベクトルが存在する
大量のセキュリティアラートによる「アラート疲れ」により、重大な脅威が見逃される可能性
ソーシャルエンジニアリングに関する職員の認識・訓練不足

ロンドン首長部による対応

ロンドン市長サディク・カーン氏は、当初は今回の攻撃について把握していなかったと述べつつも、ロンドン技術・イノベーション事務所や国家犯罪対策庁（NCA）を通じて、シティホールが議会と連携し、より強固なサイバー防御の構築に取り組んでいると強調しました。しかし同氏は、依然として続く課題についても認めています。「私たちは議会に対し、より高いレジリエンスを持つよう働きかけていますが、残念ながら現実として、防御を突破しようとする側は、システムに侵入するための新たな手段を次々と試み続けるでしょう。」

注目すべき点として、11月27日にはGLA監視委員会の会合が予定されており、「ロンドンおよび英国の公共機関に対するサイバー脅威と課題のより広範な文脈」が議題となっていましたが、これは今回のインシデントが公になった以前から計画されていたものです。

他の議会が学ぶべきこと

即時に取るべき行動

侵害を前提とする：今回の攻撃が協調的であることを踏まえ、ITを共有している他の議会は直ちに脅威ハンティングを実施すべき
アクセス制御の見直し：特権アカウントの監査、休眠アカウントの無効化、多要素認証（MFA）の全面導入
横方向移動の監視：異常な認証パターンやシステム間アクセスを重点的に監視
ネットワークのセグメンテーション：横方向移動能力を制限するため、適切なネットワーク分割を徹底

戦略的な改善策

ゼロトラストアーキテクチャの採用：境界防御中心のモデルから、アイデンティティおよびデータ中心のモデルへ移行
パッチ管理の改善：重要なパッチは可能な限り14日以内に適用
ログおよび監視の強化：不審な活動を検知するため、適切なログ取得・監視・アラート体制を整備
インシデント対応のテスト：定期的なテーブルトップ演習やインシデント対応訓練の実施
共有サービスのセキュリティ対策：共有サービス契約において、明確なセキュリティ責任と監督体制を盛り込む

必要とされる文化的変革

事後対応型から予防・プロアクティブなセキュリティ姿勢への転換
専門のサイバーセキュリティ人材への投資
フィッシングやソーシャルエンジニアリングに関する定期的な職員研修
特権アカウントを中心とした強固なパスワードポリシーの確立
デジタルトランスフォーメーションの初期段階からセキュリティを組み込む

現在の状況と今後の見通し

11月26日（火）時点で、調査は継続中であり、インシデントの全容は依然として不明です。主な論点は次の通りです。

攻撃主体の特定：攻撃の背後にいるのは誰か。国家主体、サイバー犯罪者、あるいはハクティビストか。
データ侵害：どのデータがアクセスまたは流出されたのか。
攻撃ベクトル：初期侵害はどのように発生したのか。
影響範囲：まだ検知されていないだけで、他の議会も影響を受けているのか。
復旧スケジュール：サービスが完全に復旧するのはいつか。

NCSCは、「ロンドンの一部地方当局サービスに影響を与えているインシデントを把握しており、その潜在的な影響を把握するために取り組んでいる」とコメントしています。

今回のインシデントは、サイバーセキュリティ専門家から強い反応を引き起こしています。

グレーム・スチュワート（チェック・ポイント）：「NCSCとメト警察が迅速に関与していることは、これが単なるIT障害ではなく、高リスクの事案として扱われていることを示しています。そして、それは正しい判断です。地方当局は、巨大な業務負荷を限られた予算で運営し、サイバー成熟度もばらつきがあるため、公共部門の中でも最も攻撃しやすい標的の一つであり続けています。」

情報コミッショナージョン・エドワーズ（議会のセキュリティに関する過去の発言より）：「私たちは地方自治体に、想像しうる中でも最も機微な個人情報を託していますが、それにもかかわらず、地方自治体は依然としてデータ侵害の主要な発生源の一つです。これは単なる事務的なミスではありません。人々の問題です。データが不適切に扱われると、特に脆弱な立場にある人々にとって、深刻で長期的な影響を及ぼす可能性があります。」

市民への影響

影響を受けた自治区の住民にとって：

差し迫った懸念事項

サービス遅延：議会からの対応やサービス提供に遅れが生じる可能性
コミュニケーションの課題：電話やメールシステムの障害が続く可能性
データ侵害リスク：個人情報が侵害された可能性
詐欺への警戒：盗まれたデータを悪用したフィッシングなどに注意が必要

住民が取るべき行動

金融口座の監視：不審な取引がないか確認する
連絡の真偽を慎重に確認：議会からの連絡だと主張するものは、応答前に必ず確認する
問題の報告：議会が提示する代替連絡手段を利用して問題を報告する
サービス障害の記録：重要サービスへのアクセスに問題が生じた場合は記録を残す
最新情報の入手：議会の公式広報チャネルを通じて最新情報を確認する

今後の道筋

今回のインシデントは、英国の地方自治体がサイバーセキュリティに取り組む姿勢に、構造的な変革が緊急に必要であることを浮き彫りにしています。主な提言は次の通りです。

資金とリソース

短期的な補助金ではなく、継続的で予測可能なサイバーセキュリティ専用予算の確保
レガシーシステムを置き換えるための最新インフラへの投資
24時間365日のセキュリティ運用能力を支えるリソース

連携と調整

脅威やインシデントに関する議会間の情報共有の強化
地域全体での標準と対応を統一する「リージョン全体」の調整
NCSCや国家レベルのセキュリティリソースとのより深い連携

技術的能力

ゼロトラストセキュリティフレームワークの導入
マネージド検知・対応（MDR）サービスの採用
定期的なペネトレーションテストおよびセキュリティ評価
包括的なバックアップおよび災害復旧能力の整備

ガバナンスと説明責任

共有サービス体制における明確なセキュリティ責任と役割分担
定期的なセキュリティ監査およびコンプライアンス評価
取締役会レベルでのセキュリティ監督と報告体制
インシデント後の「教訓の抽出」プロセスの確立

結論

複数のロンドン区議会を同時に襲った協調型サイバー攻撃は、英国地方自治体が直面する脅威の深刻なエスカレーションを示しています。最終的な影響はまだ明らかになっていないものの、このインシデントは共有ITインフラモデルに内在する重大な脆弱性と、公共部門全体でサイバーセキュリティへの投資と実務を抜本的に改善する必要性を浮き彫りにしています。

各議会がサービス復旧とインシデント調査に取り組む中、英国地方自治体全体に突きつけられているより大きな問いは明白です。「数百万人の市民が依存する機微なデータと重要サービスを守る準備は、本当にできているのか。」現時点の証拠と専門家の評価に基づけば、その答えは残念ながら「ノー」であり、しかし今回のインシデントが、敵対的なサイバー環境が一層厳しさを増す中で公共サービスを守るために必要な構造的変革を、ようやく促すきっかけとなる可能性があります。

更新情報：本件は現在進行中の事案です。公式情報源から新たな情報が得られ次第、本記事を更新します。

開示：本記事の情報は、影響を受けた議会による公的声明、報道機関の報道、およびサイバーセキュリティ専門家の分析から収集したものです。この記事の作成にあたり、機密情報や非公開情報は一切利用していません。

翻訳元: https://breached.company/coordinated-cyber-attacks-strike-multiple-london-councils-what-we-know/