ミドルタウン、市を壊滅させたランサムウェア攻撃から5か月後に水道料金請求システムを復旧

5か月に及ぶ財政の混乱、100万ドル超の復旧費用、そして自治体サイバーセキュリティの厳しい教訓

2026年1月16日、米オハイオ州ミドルタウン市は、ついに水道料金請求システムの復旧を発表した。これにより、24,000人の利用者が請求の宙ぶらりん状態に置かれ、市が復旧対応に100万ドル超を費やした、5か月にわたる悪夢に終止符が打たれた。この事件は、自治体インフラへのランサムウェア攻撃が単なるITの問題ではなく、地域社会の危機であり、不可欠なサービスを数か月にわたり麻痺させ得ることを痛烈に思い起こさせる。

攻撃のタイムライン：8月から1月まで

サイバー攻撃は2025年8月17日にミドルタウンを襲い、重要な自治体システムを暗号化し、複数の市部局にまたがる業務を即座に機能不全に陥れた。数時間のうちに、市職員はメールシステム、公共料金の請求プラットフォーム、警察記録、所得税処理、保健部門サービス――要するにコンピューターを必要とするほぼすべて――から締め出された。

市の住民5万人にとって、その影響は即時で、混乱を招くものだった。電話回線は不通になり、市のウェブサイトにはアクセスできなくなった。請求書の支払いや手続きのため市庁舎を訪れた住民は、窓口が閉まり、サービスが利用できない状況に直面した。住民の一人、ヴァーネル・ブレントは混乱をこう要約した。「いや、全部閉まっちまったよ。」

事件を分析したサイバーセキュリティ専門家によれば、あらゆる兆候は、高度な犯罪組織によって実行された典型的なランサムウェア暗号化攻撃を示していた。UC（シンシナティ大学）のサイバー戦略・政策センター所長リチャード・ハークネットは、こうした作戦では通常、暗号化担当チームと交渉担当チームが分かれており、攻撃者は復号鍵と引き換えに暗号資産で身代金を要求すると説明した。

市は攻撃の詳細について厳格な運用上の秘匿を維持した。ハークネットは、捜査中の公表を控えるよう促すFBIの指針を踏まえれば、これは「珍しいことではない」と指摘する。しかし、この透明性の欠如は、復旧が長引くにつれて住民との大きな争点となっていった。

長期停止がもたらした混乱

事件の間も911サービスは稼働し続けたが、それ以外のほぼすべての市の機能は深刻に損なわれた。影響は地域社会全体に連鎖的に広がった。

住民への影響：

5か月間、新しい水道料金の請求書が発行されなかった
アカウント情報にアクセスできなくなった
新規の公共料金アカウントを開設できなかった
出生証明書・死亡証明書が一時的に発行できなかった
業者が許可証を取得できなかった
犯罪経歴照会が停止した
支払いシステムは窓口支払い、またはInvoiceCloudによるオンライン支払い（クレジットカード手数料あり）に限定された

市職員への影響：

給与システムで残業代を処理できなかった
メールアカウントが数週間停止した
部局の電話回線が機能しなかった
裁判記録は手作業での対面検索が必要だった

市は緊急電話回線を設置し、手作業の代替手段を導入したが、業務の停滞は大きかった。停止期間中に住宅を購入した住民ブライアン・スターレイは、基本的な公共サービスの設定すらできない状況に直面した。「サイバー攻撃のせいで、全部を準備してオンラインに戻すのが遅れているんです。」

請求危機と世論の反発

水道料金の請求がないまま数週間が数か月へと変わるにつれ、住民の間では、自分がいくら支払うべきか知る手段がないことへの不安が高まった。市は当初、11月に「12月に請求を再開する」と発表したが、過去数か月分のサービス手数料の一部を「補填する」ためとして、25%の追加請求を行うという物議を醸す内容だった。

この提案は直ちに世論の怒りを招いた。透明性と公正な請求慣行を求めるChange.orgの署名は、あっという間に2,000件超を集めた。主催者のウィリアム・クナウバーは住民の不満をこう述べた。「家族は、明確な説明も、検証されたメーター検針も、遡及請求額の明細もない推定請求に、いら立ちとストレスを抱え続けています。」

反発は功を奏した。数日以内にスティーブ・ウェスト副市長はFacebookでこう発表した。「25にさよならを！」市は方針を撤回し、より公平なアプローチの策定に着手した。

最終的な復旧計画

2026年1月中旬に請求がようやく再開された際、市は利用者に配慮した包括的な方針を実施した。

猶予期間：停止期間中の水道使用分については、2026年8月31日まで延滞金を課さない。これにより、利用者は累積した請求を清算するのに8か月の猶予が与えられる。

実際のメーター検針：当初提案されていた推定ではなく、最終請求は5か月の停止期間中に蓄積された実際のメーター検針値を反映する。

自動引き落とし（オートペイ）の保護：想定外の高額引き落としが発生しないよう、市は24,000件すべてのアカウントでオートペイを無効化した。利用者は明細を手動で確認したうえで、オートペイを再有効化する必要がある。

明細配布の段階的実施：処理負荷を管理するため、請求明細は4〜5週間にわたり分散して配布されている。

支払いの柔軟性：市は支払い取り決めについて「現在計画を策定中」だが、延長された猶予期間は実質的に無利息の分割払い計画として機能する。

ミドルタウン市の広報担当マネージャー、クレイトン・キャッスルは、「現在の支払期日」金額は攻撃以降の実使用量を正確に反映しており、猶予期間が終了するまで、利用者はペナルティなしで残高を支払えると強調した。

財政的打撃

市の復旧対応には高額な費用が伴い、納税者が今後何年にもわたり負担することになる。

即時の復旧費用（2025年8月〜12月）：

ネットワーク復旧およびサイバーセキュリティサービス：733,800ドル
ネットワーク機器およびコンサルティング：295,610ドル
初動対応合計：1,029,410ドル

継続的なセキュリティ投資：

脅威監視とインシデント対応のマスターサービス契約：79,400ドル（2025年8月〜12月）
年間サイバーセキュリティ契約：年202,200ドル（2026〜2027年）
2027年までのコミット総額：1,433,810ドル超

これらの数字は、直接的なサイバーセキュリティ支出のみを示している。以下は含まれていない。

全市部局における生産性低下
手作業の代替対応に伴う職員の残業
請求遅延による潜在的な収入減
法務費用
広報・コミュニケーション費用
公的信頼への計り知れない損失

参考までに、ミドルタウンのサイバーセキュリティ投資は、いくつかの部局の年間予算全体を上回った。これは、歴史的にITセキュリティへの投資が不足してきた自治体にとって警鐘となる。

依然として分からないこと

数か月に及ぶ調査にもかかわらず、重要な疑問が未解決のままだ。

データ侵害の状況：市は個人情報が持ち出されたかどうかを確認していないが、予備的な所見では「市職員の情報が影響を受けた可能性がある」とされていた。この規模のランサムウェア攻撃ではデータ窃取が起きている可能性が極めて高い。現代のランサムウェア集団は、恐喝圧力を最大化するため、システムを暗号化する前にデータを持ち出すことが常態化している。

身代金要求：市は身代金が要求されたか、支払ったかを開示していない。攻撃の特徴と復旧までの期間を踏まえると、身代金要求があった可能性はほぼ確実だが、自治体は支払いを拒否する傾向が強まっている。

侵入経路：攻撃者はどのように初期アクセスを得たのか。フィッシングか、未修正の脆弱性か、侵害された認証情報か、露出したリモートアクセスサービスか。侵入口の理解は、将来のインシデント防止に不可欠である。

帰属（アトリビューション）：どのランサムウェア集団が犯行に及んだのか。市は脅威アクターの名称を明らかにしていないが、その高度さとタイムラインは主要なRaaS（Ransomware-as-a-Service）作戦と整合する。

この情報非開示は、住民やセキュリティ専門家にとって苛立たしいものだが、政府機関が関与するランサムウェア事案では一般的である。FBIの指針は通常、捜査と復旧が進行中の間は公表情報を限定することを推奨する。

より広範な自治体ランサムウェア危機

ミドルタウンの経験は決して例外ではない。これは、米国史上最も壊滅的な自治体サイバーセキュリティの時期の一つである、いわゆる「包囲の夏（Summer of Siege）」の一部だ。市への8月の攻撃は、全国の地方政府を標的とした前例のないランサムウェアの波の最中に発生した。

2025年の自治体ランサムウェア統計：

政府機関へのランサムウェア攻撃は前年比235%増（95件→322件）
政府機関への攻撃（確認済み）における平均身代金要求額：286万ドル
州・地方政府における暗号化率：72%
政府機関の平均復旧費用：283万ドル
政府機関攻撃における推定総ダウンタイム費用：700億ドル

2025年8月〜11月の主な自治体攻撃：

ネバダ州（2025年8月24日） – 前例のない攻撃として、ネバダ州は史上初の州全体を対象としたランサムウェア攻撃を受け、DMV支局、州機関のウェブサイト、電話回線の停止を余儀なくされた。州職員が5月にマルウェア混入ソフトをダウンロードした後、攻撃は数か月間検知されなかった。復旧費用は150万ドルを超え、業者支援に130万ドル、残業賃金に211,000ドルが支払われた。

ミネソタ州セントポール（2025年7月〜8月） – おそらく最も劇的な自治体対応は、ティム・ウォルズ知事が大統領令ならぬ州知事命令を発し、ミネソタ州兵のサイバー防護部隊を動員したときに見られた。これは史上初めて、自治体へのサイバー攻撃に軍のサイバー資産が投入された事例となった。Interlockランサムウェア集団が犯行声明を出し、66,000超のファイル（データ43GB）を窃取した。サービスの混乱は数週間続き、一部システムは数か月後も復旧途上だった。

テキサス州シュガーランド（2025年10月） – ヒューストン郊外の同市は10月9日の攻撃で、公共料金請求、許可証の予約、311コンタクトセンターが混乱した。Qilinランサムウェア集団が犯行声明を出し、住民の機微なデータ約800GBを持ち出したと主張し、ダークウェブのリークサイトにサンプルを掲載した。

マサチューセッツ州アトルボロ市（2025年11月） – 市当局は11月20日にサイバーセキュリティ事案を確認し、市および警察の電話回線とメールサービスがオフラインとなり、職員は手作業の紙ベース手続きへ戻ることを余儀なくされた。

ドイツの70自治体（2025年10月） – 自治体標的化の国際的な広がりを示す攻撃として、サービスプロバイダーの侵害によりドイツの70都市が同時に影響を受けた。

Comparitechによる政府標的ランサムウェアの分析では、全体件数は四半期ごとに減少傾向を示す一方で、攻撃はより標的型となり、コストも増大していることが分かった。Qilinランサムウェア集団は2025年に政府機関に対して最も攻撃的なアクターとして台頭し、重要インフラに対する著名な事案を含む31件の攻撃に関与した。

自治体が格好の標的となる理由

サイバーセキュリティ専門家は、地方政府がランサムウェアの魅力的な標的となる要因をいくつか挙げている。

1. 限られたサイバーセキュリティ資源 多くの自治体は専任のセキュリティ要員を欠き、目に見えるサービスをITインフラより優先せざるを得ない厳しい予算で運営している。TrustedSecのアドバイザリー・ソリューションズ・ディレクター、アレックス・ハマーストーンはこう述べた。「自治体は巨大な標的です。多くがベストプラクティスのサイバーセキュリティ・プログラムに必要な予算や人員を持っていないからです。」

2. 老朽化したインフラ 多くの地方政府は、現代的なセキュリティ制御を備えない旧式システムを運用している。レガシーアプリケーション、未パッチのサーバー、サポート終了OSは、攻撃者に多数の侵入口を提供する。

3. 支払いへの強い圧力 民間企業と異なり、自治体は単に業務停止するわけにはいかない。サービスの停止は公共安全、健康、重要インフラに直結する。迅速な復旧への圧力が、身代金支払いへと当局を押しやることがある――ただし、この慣行はますます推奨されなくなっており、地域によっては禁じられている。

4. 価値の高いデータ保有 自治体データベースには、住民の広範な個人情報が含まれる。社会保障番号、金融記録、健康データ、犯罪記録、税情報などだ。これらは犯罪マーケットプレイスで高い価値を持つ。

5. 相互接続されたシステム 現代の自治体は、運用技術（OT）と情報技術（IT）が交差する相互接続システムで動いている。ある部局での侵害が、ネットワーク全体へ連鎖し得る。

他の自治体への教訓

ミドルタウンの5か月に及ぶ苦難は、地方政府に重要な教訓を提供する。私たちが2025年の自治体ランサムウェア危機の包括的分析で記録したとおり、これらの攻撃には共通のパターンがあり、他の都市も学ぶことができる。

1. インシデント対応計画は不可欠

市の復旧タイムラインは、包括的なインシデント対応計画や、検証済みバックアップの欠如を示唆している。強固なIR計画とオフラインバックアップを持つ組織は、重要システムを通常、数か月ではなく数日で復旧させる。すべての自治体は以下を備えるべきだ。

役割を定義した文書化されたインシデント対応手順
検証済みのバックアップ／復旧プロセス（オフラインバックアップを含む）
ランサムウェアを想定した机上演習
フォレンジックおよび復旧専門家との事前の関係構築
利害関係者への通知用コミュニケーションテンプレート

2. サイバーセキュリティはインフラである

ITセキュリティを裁量的支出として扱う時代は終わった。ミドルタウンの攻撃後投資140万ドル超は、自治体がサイバーセキュリティの代償を支払うことになる――事前にか、事後にか――ことを示している。事前投資のほうが常に安い。

3. 透明性が重要

市の当初の情報発信不足は、住民の不安と怒りを増幅させた。情報が限られていても定期的な更新は、危機時の公的信頼の維持に役立つ。政府機関は、民間企業が顧客に対して負う以上の説明責任を、有権者に対して負っている。

4. 継続計画をテストせよ

主要なコンピューターシステムなしで、あなたの市は数週間、あるいは数か月機能できるだろうか。ミドルタウンの経験は、手作業の代替は可能だが苦痛を伴うことを示している。攻撃前に事業継続手順をテストすれば、事前に埋められるギャップが明らかになる。

5. 利用可能な資源を活用せよ

オハイオ州は、CyberOhioや、地方政府向けOhio Persistent Cyber Improvement Programなどを通じて、重要な無償サイバーセキュリティ資源を提供している。これらのプログラムは、自治体に対し、研修、リスク評価、インシデント対応ガイダンスを無償で提供する。

さらに、自治体は重要インフラのレジリエンスを優先すべきだ。2025年11月のCodeRED緊急通知システムに対するINC Ransom攻撃は、第三者サービスの侵害が数百の都市に同時影響し得ることを示した。ベンダーのセキュリティ評価と、代替通信手段のバックアップが不可欠である。

オハイオ州の新要件：ミドルタウンには「遅すぎた」

皮肉なことに、ミドルタウンへの攻撃は、オハイオ州下院法案96号が2025年9月30日に施行されるわずか数週間前に起きた。この法律は、すべての地方政府機関に対し、以下を含むサイバーセキュリティ要件を義務化する。

包括的なサイバーセキュリティ・プログラムの維持
サイバー事案を州当局へ迅速に報告
身代金支払い前の立法承認の取得
文書化されたセキュリティ制御の実装

実施期限は段階的に設定されている。

2026年1月1日：郡および市は遵守が必要
2026年7月1日：タウンシップおよび学区は遵守が必要

地方政府が要件を満たすための助成金も用意されているが、連邦承認待ちのため、現在は交付が保留されている。この法律は自治体インフラ保護に向けた大きな前進だが、ミドルタウンが高額な苦難を回避するには間に合わなかった。

今後の道筋

ミドルタウンの水道料金請求システムがオンラインに戻る一方で、市が完全復旧に至るまでの道のりは長い。財政的影響は今後何年にもわたり市の予算に響く。評判の毀損と公的信頼の低下を修復するには、さらに長い時間がかかるだろう。

しかし、この事件は機会でもある。ミドルタウンはサイバーセキュリティ基盤に大きく投資し、インシデント対応専門家との関係を築き、危機管理の貴重な経験を得た。問題は、オハイオ州の他の自治体がミドルタウンの経験から学ぶのか、それとも同じ教訓を自ら痛感するまで待つのか、という点だ。

地方政府に対するランサムウェアの脅威は消えない。攻撃はより高度化し、より標的化し、より高コストになっている。すべての市議会と郡委員会は、こう問うべきだ。「私たちは備えているか？インシデント対応計画をテストしたか？バックアップは機能しているか？攻撃を検知し阻止するセキュリティ制御を備えているか？」

ミドルタウンの住民にとって、水道料金請求の復旧は、5か月の不確実性の後にもたらされた歓迎すべき明確さだ。しかし、この事件のサイバーセキュリティ上の含意は、オハイオ州をはるかに超えて広がる。全米では、同様の脆弱性、老朽化したインフラ、限られたセキュリティ予算のもとで運営される自治体が何千も存在する。

次の攻撃は「起きるかどうか」ではない――「いつ」「誰が」だ。唯一の本当の問いは、地方政府が復旧費用を強いられる前にセキュリティへ投資するのかどうかである。

重要ポイント

自治体リーダー向け：

攻撃後ではなく、攻撃前にサイバーセキュリティ基盤へ投資する
インシデント対応計画を策定し、定期的にテストする
州・連邦のサイバーセキュリティ資源を活用する
事案発生時に住民へ透明性のあるコミュニケーションを行う
重要システムのオフラインバックアップを確保する

住民向け：

影響を受けた市部局とやり取りがあった場合、信用情報を監視する
不審な活動に備えてアカウント通知を有効化する
市を名乗るフィッシングの試みに注意する
サイバーセキュリティ予算に関するパブリックコメント期間に参加する

サイバーセキュリティ・コミュニティ向け：

州・地方政府のサイバーセキュリティ施策を支援する
資源不足の自治体へ専門知識と研修を提供する
地方予算における十分なセキュリティ資金を提言する
政府機関に関連する脅威インテリジェンスを共有する

2025年のミドルタウンのランサムウェア攻撃は、今後何年にもわたりサイバーセキュリティの講座や自治体運営プログラムで研究されるだろう。特異だったからではなく、全米の地方政府が直面する脅威として、あまりにも典型的だったからである。