大規模サイバー攻撃でジョージア州の不動産業界が麻痺：セキュリティリーダーが知るべきこと

公開日: 2025年11月30日

ジョージア州高等裁判所書記官協同機構（GSCCCA）に対するランサムウェア攻撃により、同州の不動産業界は事実上停止状態に追い込まれ、数千件の取引に影響が出るとともに、重要なビジネスオペレーションを支える政府インフラの重大な脆弱性が浮き彫りになりました。

攻撃の概要

GSCCCAは2025年11月23日（火）、 「信頼でき、かつ継続中のサイバーセキュリティ上の脅威」により、自身のウェブサイトおよび関連サービスへのアクセスを制限すると発表しました。デブマン（Devman）ランサムウェアグループが犯行声明を出しており、州全体の不動産登記を管理する同機構から500ギガバイトのデータを流出させたと主張しています。

タイミングは最悪です。不動産業界の専門家たちは、年間でも最も忙しい時期の一つにあたるこの時期に、ジョージア州の不動産市場全体で連鎖的な障害が発生していると報告しています。あるブローカーは、1週間で15件のクロージング（決済）が影響を受けたと述べており、休日前のタイトなスケジュールが危機をさらに深刻化させています。

より広いパターンの一部

ジョージア州への攻撃は孤立した事例ではありません。2025年11月には、不動産インフラを標的とした連携的な攻撃の波が発生しています。

SitusAMC 銀行系ベンダー侵害

ジョージア州への攻撃のわずか数日前、JPMorgan Chase、Citi、Morgan Stanley を含む1,500社以上の顧客にサービスを提供する大手不動産金融ベンダー SitusAMCが、2025年11月12日にサイバー攻撃を受けました。ハッカーは会計記録、法的契約書、住宅ローン保有者に関する顧客データを盗みました。FBIはこのサプライチェーン攻撃を捜査しており、防御が堅固とされる金融サービス分野でさえ深刻なリスクにさらされていることを示しています。

歴史的な文脈

これは、2025年を通じて続いている不動産セクターへの標的型攻撃の一環です。

• 2025年4月: 米国内の複数の不動産会社が、Windowsのゼロデイ脆弱性（CVE-2025-29824）を悪用するランサムウェアグループの攻撃を受けた
• 2023年8月: 全米の複数リスティングサービス（MLS）をホスティングするカリフォルニア州の Rapattoni がランサムウェア攻撃を受け、全米の物件リスティングが混乱
• 2025年4月: ウィスコンシン州アイオワ郡がランサムウェア攻撃を受け、不動産記録、権利証書、税務処理文書の「かなりの部分」が削除された

不動産および住宅ローン業界は、2024〜2025年を通じて特にデータ侵害に脆弱であり、住宅ローン貸し手の情報漏えいにより4,700万人以上の米国人の金融情報が流出しました。

実ビジネスへの影響

今回のインシデントは、ランサムウェア攻撃の影響が最初の被害組織にとどまらないことを示しています。重要な政府インフラがダウンすると、業界全体がその波及効果を受けます。

• 取引の麻痺: 買い手と売り手は、取引完了に必要な権利証書などの重要書類にアクセスできない
• 金融面での損失: 決済の遅延により、変動の激しい市場環境で買い手が確保していた住宅ローン金利の保証を失う可能性がある
• エコシステムの混乱: クロージング弁護士、タイトル会社、貸し手、エージェントなど、数千人の専門家が業務を完了できない
• 収益の損失: 遅延する取引1件ごとに、複数の関係者にとって資本が凍結され、手数料収入が失われる

不動産ブローカーの Maja Sly 氏は状況を率直にこう表現しています。「彼らは今、文字通り人質に取られているようなものです。身代金が要求されているのは間違いないでしょう。でも、いつ終わるのかについては何の見通しも示されていません。これ以上悪いタイミングはなかったでしょう。」

危険にさらされているデータ

サイバーセキュリティ専門家は、侵害された可能性のあるデータとして、次のようなものを挙げています。

• 運転免許証情報
• 社会保障番号
• 不動産取引に関連する銀行口座情報
• 個人の連絡先情報
• 不動産の所有記録

クレジットカード情報の窃取は可能性が低いとみられるものの、個人を特定できる情報（PII）や金融記録が流出したことで、最近の不動産取引に関与した数千人のジョージア州住民にとって、重大ななりすまし被害や詐欺のリスクが生じています。

Devman ランサムウェアグループ

Devman は、長年ランサムウェア界を率いてきたとされる Oleg Nefedov（通称「Tramp」）が主導する高度なランサムウェアオペレーションの最新形態とみられています。同グループは以下の攻撃についても犯行声明を出しています。

• Procure.com
• オックスフォード大学臨床研究ユニット

このグループの台頭は、2025年のランサムウェアエコシステムの広範なトレンド、すなわち複数の高度なグループが複数セクターに対して同時に協調攻撃を行っている状況と合致しています。

CISO にとっての意味

今回の攻撃は、いくつかの重要なセキュリティ上の現実を浮き彫りにしています。

1. サードパーティリスクは事業継続リスクである

組織は、自社の重要なビジネスプロセスにとって単一障害点となり得る政府機関やサービスプロバイダーを把握しなければなりません。インシデントレスポンス計画には、外部の依存先が長期間利用不能になるシナリオを織り込む必要があります。

SitusAMC の侵害は、豊富なリソースと厳格な規制を持つ金融サービス業界でさえ、サプライチェーン攻撃に対して脆弱であることを示しています。

2. データ所在地（データレジデンシー）は重要である

政府機関が自社の顧客や取引に関する機微なデータを保有している場合、そのセキュリティ体制を理解する必要があります。政府システムへの依存度が高い業界では、サイバーセキュリティ慣行に関する透明性を求めるとともに、重要記録への代替的なアクセス手段を確保することが求められます。

3. ランサムウェアグループは高度化している

暗号化前に500GBものデータを流出させた Devman の手口は、高度な持続的脅威（APT）レベルの能力を示唆しています。現代のランサムウェアは単なる暗号化にとどまらず、データ窃取と規制上のリスクを利用した二重の恐喝が中心となっています。

私たちが2025年8月の前例のないサイバー攻撃急増を分析した際にも指摘したように、Qilin のようなランサムウェアグループは、他グループの解体後に流入したアフィリエイトによって勢力を拡大し、より連携的かつ高度な攻撃を行うようになっています。

4. 復旧までの期間は予測不能

GSCCCA は「可能な限り早期の」システム復旧を約束しているものの、影響を受けた企業には具体的なタイムラインが示されていません。この不透明さは計画策定をほぼ不可能にし、レジリエントな代替手段や暫定措置を業務計画に組み込む必要性を浮き彫りにしています。

業界特有の脆弱性

不動産業界は、次のような理由から格好の標的となっています。

1. 高額な取引: 1回の電信送金額が数十万〜数百万ドルに達することが多い
2. 時間に敏感なプロセス: クロージング期限のプレッシャーにより、身代金支払いを急がされやすい
3. 多数のステークホルダー: 1件の取引に多くの関係者が関与し、影響範囲が拡大する
4. 規制遵守: RESPA、TILA、州独自の要件など、追加のコンプライアンス負荷がある
5. レガシーシステム: 多くの郡の登記・書記官システムが老朽化したインフラ上で稼働している

主要なデータ侵害の最も一般的な手口に関する私たちのレポートでも指摘したように、攻撃者は老朽システムの未パッチ脆弱性を悪用することが多く、これは特に政府インフラで深刻な問題となっています。

人的要因：守る側が攻撃者になるとき

不動産業界は、サイバーセキュリティエコシステム内部からの特有の脅威にも直面しています。私たちが行ったBlackCat ランサムウェア作戦で起訴されたサイバーセキュリティ専門家に関する調査では、ランサムウェア交渉会社の元インシデントレスポンダーが、自らが防ぐべき攻撃——不動産企業への攻撃を含む——を実行していた疑いがあることが明らかになりました。

ある記録された事例では、アラスカのある不動産会社が「復旧会社」に数千ドルを支払いましたが、その会社は単に自ら身代金を支払い、その額を上乗せして請求していただけであり、ランサムウェアエコシステムにおける信頼関係の複雑さを浮き彫りにしました。

自社組織への教訓

不動産、医療、金融、あるいは政府インフラに依存するあらゆるセクターに属しているかどうかにかかわらず、以下の点が重要です。

即時に取るべき行動

1. 重要な依存関係をマッピングする：サイバー攻撃により利用不能となり得る政府システムやサードパーティサービスを洗い出す
2. 代替運用計画を策定する：それらのシステムがダウンした場合でも業務を継続するための計画を立てる（不完全な暫定措置であっても構わない）
3. 通知手順を見直す：サードパーティのインシデントに起因する取引遅延について、パートナーや顧客に通知するプロセスを確認する
4. 緊急テーブルトップ演習を実施する：サードパーティインフラ障害に特化したシナリオで演習を行う

戦略的イニシアチブ

5. 政府機関に保有されている自社データを評価する：それらのシステムが侵害された場合の潜在的な露出度を把握する
6. ベンダーリスク管理を強化する：政府機関もサードパーティリスク評価の対象に含める
7. オンラインデータベースに全面的に依存しない検証プロセスを導入する：重要な取引のための代替的な検証手段を整備する
8. 重要なワークフローに冗長性を持たせる：タイトル検索や文書検証のバックアップ手段を含め、可能な限り冗長化を図る
9. サイバー保険を検討する：サードパーティ障害による事業中断を明示的にカバーする保険を検討する

コミュニケーション計画

10. ステークホルダー向けコミュニケーションテンプレートを準備する：さまざまなサードパーティ障害シナリオに対応できるようにする
11. 重要な依存先が障害を起こした場合の明確なエスカレーション手順を確立する
12. 顧客向け教育プログラムを作成する：システム障害時における送金指示の検証方法や詐欺の見分け方を周知する

2025年のより広範な脅威情勢

ジョージア州への攻撃は、サイバーセキュリティ専門家が「前例のない年」と呼ぶ2025年のサイバー攻撃状況の一部です。私たちの2025年の主要サイバー攻撃に関する包括的分析によると、次のような傾向が見られます。

• 世界的なランサムウェア攻撃が126%増加
• 1組織あたり週平均1,925件の攻撃
• 2025年第1四半期には、1組織あたりの週次サイバー攻撃件数が前年比47%増加
• サプライチェーン攻撃が、高価値ターゲットに到達するための好ましい手段となっている

最近の注目すべきインシデントには、次のようなものがあります。

• INC Ransom によって機能不全に陥った OnSolve CodeRED 緊急通知システム（全米数百の自治体に影響）
• 国家主体の攻撃者による F5 Networks 侵害（ソースコードと脆弱性が流出）
• イースター週末に Scattered Spider ランサムウェア攻撃を受けた Marks & Spencer の3億ポンドの損失

ランサムウェアが見出しを飾る一方で、ビジネスメール詐欺（BEC）は依然として不動産業界にとって最大のサイバーセキュリティ脅威です。 FBI の統計によると、

• 不動産関連の BEC 損失は2022年に4億4,610万ドル
• これは、2023年に全業界で発生したランサムウェア損失の合計の7倍
• BEC 損失は2015年以降、驚異的なペースで増加している

ジョージア州の攻撃のようにシステムがダウンしている間は、通常の検証手順が機能しなくなり、緊急性が慎重さに優先するため、BEC リスクは飛躍的に高まります。

規制・法的な影響

ジョージア州での侵害は、次のような事態を引き起こす可能性が高いとみられます。

1. 影響を受けた消費者および企業による集団訴訟
2. 政府のサイバーセキュリティ慣行に対する規制当局の監視強化
3. 事業中断およびサイバー賠償責任に関する保険金請求
4. 政府データシステムに対するセキュリティ基準を義務付ける立法措置

住宅ローン業界ではすでに記録的な和解金が発生しており、LoanDepot は1,690万人分の顧客データを流出させた結果、住宅ローン関連としては史上最高額のデータ侵害和解に直面しています。

CISO が取締役会に伝えるべきこと

このインシデントを経営陣に報告する際には、次の点を強調すべきです。

1. 問題は自社のセキュリティだけではない：社内統制が完璧であっても、重要なビジネスプロセスはサードパーティのセキュリティに依存している
2. 地理的な分散は助けにならない：州レベルのインフラ障害は、その管轄区域で事業を行うすべての企業に影響する
3. 復旧時間は予測できない：自社が対処を主導できる内部インシデントと異なり、サードパーティのインシデントには確実なタイムラインが存在しない
4. 財務的影響は直接コストを超える：失われた収益、顧客離れ、規制罰金、風評被害などを考慮する必要がある
5. これは再び起こる：不動産および金融サービスセクターは主要な標的であり、攻撃の頻度と高度化は増す一方である

今後の見通し

あるジョージア州のブローカーが指摘したように、業界全体が人質に取られているような状況であり、解決の明確なタイムラインはありません。これはジョージア州だけの問題ではなく、どこであれ重要インフラがランサムウェアに屈した場合に何が起こり得るかを示す予兆です。

2025年11月に発生した GSCCCA、SitusAMC、その他の不動産インフラへの攻撃の集中は、次のいずれか、あるいは複数の要因を示唆しています。

• 複数の脅威アクターによる不動産セクターへの協調的な標的化
• ランサムウェアグループ間での偵察活動やインテリジェンス共有の活発化
• 不動産インフラに存在する既知の脆弱性を狙った機会主義的な悪用

組織は、直接攻撃に備えるだけでなく、共有インフラ——特に政府システム——が侵害されたときに発生する連鎖的な障害にも備えなければなりません。

著者について: 本分析は、世界中の企業に影響を与えるサイバーセキュリティインシデントを追跡・分析している Breached Company のチームによって作成されました。

購読して、最新のサイバーセキュリティ脅威と組織を守る方法に関する情報を入手してください。

ジョージア州の不動産危機は、サイバーセキュリティが自社システムの保護だけにとどまらないことを痛感させる厳しい教訓です。相互に結びついた現代経済において、組織のレジリエンスは、バリューチェーン上のあらゆる重要パートナー——これまで評価対象と考えたこともないかもしれない政府機関を含む——のセキュリティ体制に依存しているのです。