TokyoBlackHatNews

breached.company 12分で読了

サウスカロライナ州ウェストミンスター:サイバー攻撃を受けた小都市、盗まれた金額の公表を拒否

全国で自治体のサイバーセキュリティ危機が深刻化する中、財政損失の背景にビジネスメール詐欺の可能性

サウスカロライナ州ウェストミンスター市は、2025年12月11日(水)、同市の情報技術システムの一部がサイバー攻撃により侵害され、公金が盗まれたことを発見した。市当局は金銭的損失を確認した一方で、捜査が継続中であることを理由に、盗まれた正確な金額の公表を拒んでいる。

ウェストミンスター警察は直ちに通報を受け、サウスカロライナ州法執行局(SLED)および連邦捜査局(FBI)の双方に支援を要請した。市当局によれば、その後、将来の攻撃を防ぐための対策が実施されており、現時点では、公共料金の顧客データ、オンライン決済ポータルの財務情報、市職員の人事記録、その他の個人データはいずれも侵害されていないと考えている。

公金の損失があったにもかかわらず、ウェストミンスター当局は住民および請負業者に対し、職員、ベンダー、債権者への支払いは予定どおり継続すると保証した。公共安全および公共料金の運用は、本件による影響が最小限にとどまっている。

静かな窃取:ビジネスメール詐欺(BEC)の疑い

ウェストミンスター当局は攻撃手法の詳細を明らかにしていないが、その特徴から、ビジネスメール詐欺(Business Email Compromise:BEC)攻撃である可能性が強い。BECは、現在米国全土の自治体を標的としているサイバー犯罪の中でも、金銭的被害が最も大きい形態である。

FBIのインターネット犯罪苦情センター(IC3)によれば、2024年に報告されたサイバー事件のうち73%がBEC攻撃であり、過去10年間の累計損失は550億ドルを超える。システムをロックして復旧のための支払いを要求するランサムウェア攻撃とは異なり、BECはより陰湿で、信頼関係を悪用し、正規の支払いプロセスを操作して資金を攻撃者が管理する口座へと誘導する。

サウスカロライナ州では特に、2024年のビジネスメール詐欺による損失は4,080万ドルに達し、2023年の3,060万ドルから増加した。これは同州における金銭的損失ベースで最大のサイバー犯罪となっている。

BEC攻撃が自治体を狙う仕組み

地方自治体に対するBEC攻撃は、通常、次のような典型的なパターンをたどる:

  1. 偵察段階:攻撃者は、公的記録、ソーシャルメディア、場合によっては侵害されたメールアカウントを通じて、自治体の支払い手続き、ベンダーとの関係、職員の階層構造を調査する。
  2. ソーシャルエンジニアリング:攻撃者は、メールアドレスのなりすまし(スプーフィング)やフィッシングによる実在アカウントの乗っ取りによって、正規の送信元から来たように見える説得力のある偽メールを作成する。
  3. 支払いの迂回:戦略的なタイミング(多忙期や主要担当者が出張中など)で、今後の支払いに関する銀行口座情報の変更や、緊急の電信送金を求める依頼を送る。
  4. 実行:十分な検証プロセスがなければ、財務担当者が正規の支払いを攻撃者管理口座へ振り向けてしまう。

マサチューセッツ州の自治体向けサイバーセキュリティ・ブリーフィングによれば、自治体に対する一般的なBEC攻撃には、調達詐欺、ベンダー支払いの操作、給与の迂回スキームが含まれる。2024年6月には、マサチューセッツ州アーリントン町が、詐欺師により建設請求書のメールスレッドを乗っ取られ、4件の支払いを迂回されて約50万ドルを失った。オーストラリアでは、ニューサウスウェールズ州政府のある部局が、信頼できるベンダーを装った犯罪者に対し、210万豪ドルを送金してしまった。

インシデント対応データによれば、BECによる送金詐欺が成功した場合の平均損失額は28万6,000ドルに達する。ただし、さらに大きな金額を得た攻撃もある。

透明性の空白:なぜウェストミンスターは金額を公表しないのか

ウェストミンスターが盗難額の公表を拒むことは珍しくないが、サイバーセキュリティ事件における公的透明性について重要な疑問を提起する。法執行機関は通常、捜査中に具体的な詳細を公表しないよう助言する。これは、盗難資金の追跡や回収の可能性を損なわないためである。

しかし、それは透明性のジレンマを生む。住民には、税金がどのように管理されているかを知る権利があり、とりわけ公金が盗まれた場合はなおさらだ。非開示は憶測を招き、公共の信頼を損なう可能性がある。これは、BEC攻撃が金銭窃取に加えて狙う結果でもある。

過去の事例からすると、金額は数万ドルから数百万ドルまで幅があり得る。ウェストミンスターの年間予算、ベンダー支払いの規模、影響を受けた部局に関する追加情報がない限り、正確な推定は不可能である。

サウスカロライナ州で拡大するサイバー脅威の状況

ウェストミンスターへの攻撃は、サウスカロライナ州の自治体や組織を狙うサイバー事件のより大きな傾向の一部である:

サウスカロライナ州の最近のサイバー事件:

  • サマービル(2024年7月):住民5万人にサービスを提供する町のシステムがランサムウェア攻撃を受けた。当局は当初、データ侵害はないと主張したが、捜査は継続した
  • SRP連邦信用組合(2024年9月〜11月):24万人超がデータ侵害の影響を受け、氏名、社会保障番号、運転免許証、財務情報が露出
  • レキシントン郡およびリッチランド郡の学区第5(2024〜2025年):データ侵害により職員給与の支払い遅延やシステム障害が発生
  • グリーンビル・ウォーター(2025年7月):「国際的サイバー攻撃」により、約50万人の住民向けオンライン決済システムが混乱

サウスカロライナ州の住民は、2024年にサイバー犯罪による損失として1億4,600万ドルを報告しており、2023年から2,700万ドル増加した。報告されたインターネット犯罪件数で同州は全米22位である。60歳以上が最も深刻な金銭的損失を被り、その額は5,850万ドルに上った。

同州は10年以上にわたりサイバーセキュリティに苦戦してきた。2012年には、サウスカロライナ州歳入局が米国史上最大級のデータ侵害の一つに見舞われ、ハッカーが360万件の社会保障番号と、約40万件のクレジットカードおよびデビットカード番号を盗んだ。その捜査は10年以上経った今も技術的には未終結であり、州が攻撃者に身代金を支払ったのかどうかという疑問も残ったままである。

全国的な自治体サイバーセキュリティ危機

ウェストミンスターは、近年サイバー攻撃の被害に遭った米国の数百の自治体に加わることになった。課題は、専任のサイバーセキュリティ要員、高度なセキュリティ基盤、包括的な防御を実装するための予算を欠きがちな小規模・中規模都市において特に深刻である。

国家サイバー局長(National Cyber Director)が2024年5月に公表した米国のサイバーセキュリティ態勢に関する報告書によれば、「ランサムウェア集団は、学校、病院、小規模事業者、そして自衛能力が十分でない多くの組織を標的にすることを中心にビジネスモデルを構築してきた」という。

2024年の全国の注目すべき自治体サイバー攻撃:

  • オハイオ州コロンバス:広範なサービス障害により政府庁舎の閉鎖が必要に
  • ケンタッキー州ジェファーソン郡:サイバーセキュリティ事件により複数の郡サービスが停止
  • ロンドン特別区の区議会(英・ウェストミンスター、ケンジントン&チェルシー、ハマースミス&フラム):3区で共有するITシステムが侵害され、機微な個人データが盗まれた(2024年11月)

問題は技術的脆弱性だけにとどまらない。多くのBEC攻撃の成功は、ソフトウェアの欠陥ではなく人間心理の悪用にある。信頼、緊急性、権威を操作するため、技術的対策だけでは防げないのである。

なぜBEC攻撃は政府に対して特に有効なのか

自治体政府がBEC攻撃の魅力的な標的となる理由はいくつかある:

1. 複雑な支払いエコシステム:都市は数百のベンダー、請負業者、コンサルタント、サービス提供者への支払いを管理しており、支払い迂回の機会が多数生まれる。

2. 限られたサイバーセキュリティ資源:小都市では専任のITセキュリティ要員がいないことが多く、少人数のチームが複数部局にまたがる複雑なインフラを管理している場合もある。

3. 高い職員入れ替わり:自治体の財務部門では人の入れ替わりが起きやすく、適切な検証手順に関する知識の空白が生じる。

4. 業務プロセスにおけるメール依存:脆弱性が知られているにもかかわらず、メールはベンダー管理や支払い承認の主要なコミュニケーション手段であり続けている。

5. 公開情報の入手容易性:組織図、職員名簿、予算文書が公開されていることが多く、攻撃者に詳細な偵察データを与えてしまう。

6. 予算サイクルに伴う時間的圧力:攻撃者は、会計年度末、監査期間、大型プロジェクトの締切など、財務担当者が多忙で、十分な検証なしに支払いを急ぎがちな時期を狙うことが多い。

BECの進化:AIが攻撃の検知をより困難にする

AI搭載ツールの登場により、BEC攻撃の高度化は劇的に進んだ。2024年には、BEC攻撃の約40%がAI生成コンテンツを使用しており、詐欺メールは正規のやり取りとほぼ見分けがつかなくなっている。

初期のBECは、文法の拙さ、露骨ななりすまし、稚拙なソーシャルエンジニアリングにより、比較的見分けやすいことが多かった。現代の攻撃は驚くほど洗練されている:

  • 完璧な文法と自然な言語
  • コミュニケーション様式や組織のトーンの正確な再現
  • 社内プロジェクト、ベンダー関係、支払いタイミングに関する知識
  • 露骨な危険信号を伴わない、さりげない緊急性
  • 不審なリンクや添付ファイルといった技術的指標がない、整った体裁

あるサイバーセキュリティ専門家は、多くの成功したBEC攻撃は「文章がよく練られ、体裁も整っており、技術的な危険信号がない—リンクなし、添付なし、スペルミスなし」だと指摘している。

自治体向け防御戦略

BEC攻撃から守るには、技術よりもプロセスを重視した多層的アプローチが必要である:

必須のBEC防御策:

  1. 支払い変更に対する多要素の検証:ベンダーの銀行口座情報の変更については、電話による確認(メールに記載された番号ではなく、独立に検証された電話番号を使用)を必須とする。
  2. 職務分掌:単一の職員が電信送金やACH支払いの承認と実行の両方を行えないようにする。
  3. アウト・オブ・バンド検証:異常な支払い依頼は、別の通信手段(既知の番号への電話、対面確認など)で必ず確認する。
  4. 定期的なセキュリティ意識向上トレーニング:職員は技術的脅威だけでなく、ソーシャルエンジニアリング手口を見抜く訓練が必要である。年1回ではなく継続的に行うべきだ。
  5. メール認証プロトコル:DMARC、SPF、DKIMのメール認証を実装し、なりすましを困難にする。
  6. AIによる異常検知:最新のメールセキュリティは機械学習を用い、侵害を示唆する不審な通信パターンを検知する。
  7. ベンダー検証手順:新規ベンダーの登録や既存ベンダー情報の更新に関する標準化された手順を確立する。
  8. 財務統制:高額または異例の取引について、追加の承認段階を要求する金額閾値を設定する。

SLEDのコンピュータ犯罪部門、FBI、サウスカロライナ州兵を含むサウスカロライナ重要インフラ・サイバーセキュリティ・タスクフォースは自治体向けのリソースを提供している。ただし参加は任意であり、多くの小都市は依然として十分に保護されていない。

回収の難題:資金を取り戻すには

いったん資金が攻撃者管理口座へ送金されると、回収は極めて困難になる。BEC攻撃者は通常、複数の法域をまたいで資金を迅速に移動させ、暗号資産など追跡が難しい資産へ転換する。

FBI IC3のデータによれば、英国、香港、中国、メキシコ、UAEの国際銀行が、盗難資金の中継地点として機能することが多い。発見と通報のスピードが重要であり、24〜48時間以内に通報した被害者は、銀行介入による回収可能性が高い。

ウェストミンスター当局が、請負業者および職員への支払いは継続すると述べたことは、次のいずれかを示唆する:

  • 盗まれた金額が市の全体的な準備金に比べて比較的小さい
  • 損失を補填するための予備費または保険がある
  • 当面の運用に影響を与えずに損失を吸収している

金額が公表されない限り、ウェストミンスターの予算や納税者に対する真の財政的影響を評価することはできない。

政策的含意:連邦支援の必要性

ウェストミンスターの事件は、自治体サイバーセキュリティに対する包括的な連邦支援の必要性を浮き彫りにする。小都市は、しばしば国際的な高度犯罪組織と対峙しており、その資源は地方のIT予算をはるかに上回る。

現在の不足点には次が含まれる:

  • 資金:多くの自治体は最新のセキュリティ基盤や専任のセキュリティ人員を確保できない
  • 専門性:サイバーセキュリティの専門知識は希少で高価であり、小都市には手が届きにくい
  • 連携:標準化されたインシデント報告が欠如しており、傾向把握や防御戦略の策定が難しい
  • 復旧支援:盗難資金の回収や攻撃後の再建を自治体が行うための支援資源が限られている

一部の州はこれらの課題への対応を始めている。サウスカロライナ州の重要インフラ・サイバーセキュリティ・タスクフォースはモデルとなり得るが、真に有効にするには、より広い参加とより多くの資源が必要である。

他の自治体への教訓

ウェストミンスターの経験は、全国の自治体リーダーにいくつかの重要な教訓を提供する:

1. 狙われていると想定する:規模にかかわらず、すべての自治体は脆弱である。攻撃者は防御が限られた小規模組織を特に狙う。

2. 人的要素が重要:技術的統制だけではBECを防げない。職員教育、検証手順、組織文化が同等に重要である。

3. 透明性が重要:捜査の詳細を守ることは重要だが、インシデントと是正措置について透明性のあるコミュニケーションを通じて公共の信頼を維持することが不可欠である。

4. 保険だけでは不十分:サイバー保険はますます一般的になっているが、攻撃を防ぐものではなく、すべての損失に対応できるわけでもない。優先すべきは予防である。

5. 協力が不可欠:脅威インテリジェンスやインシデントの詳細を(機微な捜査情報を保護しつつ)他の自治体と共有することは、全体の防御力向上に役立つ。

結論:米国の小都市にとっての警鐘

ウェストミンスターのサイバー攻撃は、国家的危機の縮図である。高度なサイバー犯罪者が、資源の乏しい自治体を組織的に狙い、壊滅的な効果を上げている。ウェストミンスター当局が州および連邦の捜査当局と協力して損失の全容を特定している間にも、他の数百の都市が日々同様の脅威に直面している。

盗難額の公表を拒む市の姿勢は、捜査上は戦術的に妥当である可能性がある一方で、自治体のサイバーセキュリティ事件を特徴づける「運用上の安全」と「公的説明責任」の緊張関係を浮き彫りにしている。

ビジネスメール詐欺は、より高度化し、より標的化され、検知がますます困難になり続けている。ウェストミンスターのような小都市は、自ら望んで戦うことになったわけではないが、負けるわけにはいかないサイバー戦争の最前線にいることを認識しなければならない。

問題は、もはや小規模自治体が狙われるかどうかではなく、攻撃が来たときに備えができているかどうかである。ウェストミンスターにとって、その答えは遅すぎた。ほかの数百の都市にとって、時計の針は刻々と進んでいる。

出典:FBI IC3報告書、サウスカロライナ州法執行局、FOX Carolina、State Scoop、Proofpoint、Palo Alto Networks、Arctic Wolf Threat Intelligence、Verizon Data Breach Investigation Report 2024、その他各種サイバーセキュリティ研究機関。

注記:本記事は公開情報に基づく。ウェストミンスターの事件で攻撃者に盗まれた正確な金額は、2025年12月23日時点で市当局により未公表のままである。

翻訳元: https://breached.company/westminster-south-carolina-small-city-hit-by-cyber-attack-refuses-to-disclose-amount-stolen/

ソース: breached.company
#AIによる詐欺高度化 #FBI捜査 #SLED(サウスカロライナ法執行局) #ウェストミンスター市 #サイバー攻撃 #サウスカロライナ州 #ビジネスメール詐欺(BEC) #公金流出 #自治体のサイバーセキュリティ #透明性と情報開示

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと