ランサムウェア攻撃により、プエルトリコ政府の複数の主要機関の業務が麻痺しているにもかかわらず、当局は依然としてこのインシデントを公に認めていない。得られている情報によると、11月25日から、3つの主要な公共機関が攻撃を受けた。労災保険公社(CFSE)、医療保険庁(ASES)、そして教育省である。被害はあまりに深刻であったため、プエルトリコ革新技術サービス局(PRITS)はサイバー緊急事態を宣言し、CISAとFBIからの支援を要請せざるを得なかった。
匿名のIndiarioの情報源によると、攻撃は請負業者の認証情報が侵害されたことから始まったという。この認証情報には、高度な管理者権限が付与されていた。この侵入経路は、ここ数カ月で増加しているパターンと一致している。すなわち、攻撃者がサプライチェーンの弱点を突いて、米国および中南米の政府機関のインフラに侵入するというものだ。一度内部に侵入すると、攻撃者は複数の機関にまたがるミッションクリティカルなシステムにランサムウェアを拡散させることができた。
ランサムウェアは、サイバー犯罪者が利用できる最も破壊的なツールの一つであり、データを暗号化し、重要なサービスを停止させ、支払い(通常は暗号資産)を要求する。しかし、技術的な被害は物語の一部に過ぎない。真の影響は、給与処理、医療記録管理、教育プラットフォーム、公共サービスといった重要な市民機能に及ぶ。このような混乱は、長年にわたり技術インフラに蓄積してきた弱点を一気に露呈させる。
情報源によれば、CFSEが最も深刻な打撃を受け、150台以上のWindowsおよびLinuxサーバーが危険にさらされた。その結果、財務システム、負傷労働者向けサービス、公共ポータル、内部ツールが深刻な影響を受けた。稼働しているシステムでさえ、利用可能なのは一部のみ、あるいは断続的にしか機能していない。ASESでは、およそ30台のサーバーが損傷した可能性があり、公的医療保険の運営に不可欠なデータベースや通信チャネルが混乱している。教育省では、予備的な評価によると、11台のサーバーが停止したことで主要な機能を喪失し、PowerSchool、T&A、TALその他、教師・生徒・管理者が日常的に利用するプラットフォームに障害が発生した。
被害の全容はいまだ不明である。情報源は、いくつかの継続的なリスクを指摘している。個人データ流出の可能性、すでに1週間にわたり不安定な状態が続いている政府サービスの長期的な劣化、そして現在判明している以上に多くの機関が攻撃の影響を受けている可能性である。政府のITシステムが分断され老朽化していることを踏まえると、状況は一層危うく見える。プエルトリコはこれまでも不正侵入を経験してきたが、今回のインシデントは規模の点で最大級となる可能性がある。
情報源によれば、PRITSは緊急プロトコルを発動し、侵害されたネットワークセグメントを隔離するとともに、攻撃の封じ込めとデジタル・フォレンジック調査のために連邦機関との連携を開始した。複数の技術プラットフォームにまたがる数十台のサーバーが影響を受けているため、サービス復旧には相当な時間を要する見込みだ。
情報源はまた、このインシデントによって浮き彫りになった構造的な弱点も指摘している。政府は24時間365日稼働のセキュリティ・オペレーション・センター(SOC)の設置、ゼロトラストモデルへの移行、全職員への多要素認証の義務化、セキュリティパッチ適用の迅速化、定期的なペネトレーションテストの実施、そして高度な管理者権限を持つベンダーに対する厳格な要件の導入を行うべきだと提言している。まさにそのような特権を持つプロバイダーが、今回の攻撃者の侵入口となったとみられている。
当局は現在、市民の個人データが侵害されたかどうかの確認を進めている。もし侵害が確認されれば、政府は被害者への通知義務を負うことになり、連邦レベルでの調査対象となる可能性もある。
