2025年8月、ペンシルベニア州司法長官事務所(OAG)がランサムウェア攻撃を受け、多数の個人情報が漏洩したことが明らかになりました。この攻撃により、事務所のウェブサイト、電話回線、および職員が日常的に使用する電子メールシステムが停止し、州の法制度に大きな混乱が生じました。攻撃者は、社会保障番号(SSN)や医療情報を含む機密データを窃取したとされています。
司法長官のデイブ・サンデー氏は声明の中で、「OAGが関与したデータのレビューに基づき、一部の個人については、氏名、社会保障番号、および/または医療情報が含まれている可能性がある」と述べています。事務所は、有効な電子メールアドレスを提供されていた個人に対し、2025年11月14日に電子メールでこの事件の通知を行いました。また、連邦捜査局(FBI)にも事件を通知し、捜査に協力しています。
事務所の発表によると、ランサムウェア攻撃は8月9日に発見され、その後の調査で、事件中に事務所のシステムからファイルが盗まれたことが確認されました。被害者からの問い合わせに対応するため、フリーダイヤルが開設されました。事務所は、影響を受けた人数に関するコメントの要請には応じていません。
事務所の声明では、「潜在的に関与した情報の不正使用または不正使用の試みの証拠はない」と主張していますが、この攻撃は9月にINCランサムウェアギャングによって犯行声明が出されています。グループが盗まれたデータを公開したかどうかは不明です。サンデー氏は以前、ハッカーが事務所で使用するファイルとシステムを暗号化したことを認めていますが、当局は発行された身代金を支払わなかったと述べています。
この攻撃は、ペンシルベニア州の法制度に約1ヶ月間支障をきたし、裁判所は特定の刑事および民事事件の期間延長を余儀なくされました。事務所の1,200人のスタッフは、8月を通じて業務を行うために「代替のチャネルと方法」を使用することを余儀なくされました。サンデー氏は当時、「この状況は確かにOAGスタッフを試しており、典型的なルーチンにいくつかの変更を促しましたが、ペンシルベニア州民を保護し、代表するという私たちの義務と使命にコミットしており、その使命が果たされていると確信しています」と述べています。
INCランサムウェアによる攻撃とCitrix Bleed 2の脆弱性
セキュリティ研究者たちは、今回の攻撃がCitrix NetScalerのインターネットに公開されたインスタンスを悪用したものであると分析しています。これらのインスタンスは、CVE-2025-5777(通称Citrix Bleed 2)として知られる脆弱性や、その他関連する複数のバグの影響を受けていました。サイバーセキュリティ専門家のケビン・ボーモント氏は、司法長官事務所に関連付けられた、インターネットに公開されていた2つのCitrix NetScalerデバイスの証拠を共有しましたが、これらは後にインターネットから削除されました。
Citrix Bleed 2は、Citrix NetScaler ADCおよびGatewayにおける深刻な脆弱性であり、攻撃者が機密情報を窃取したり、システムを制御したりする可能性があります。この脆弱性を悪用することで、攻撃者は多要素認証をバイパスし、企業のネットワークに侵入することが可能です。過去にも、この脆弱性を悪用した攻撃が多数報告されており、企業や政府機関にとって深刻な脅威となっています。
今回の攻撃では、INCランサムウェアグループがこの脆弱性を悪用し、司法長官事務所のシステムに侵入したと考えられています。INCランサムウェアは、近年活動が活発化しているランサムウェアグループであり、企業や政府機関を標的とした攻撃を繰り返しています。彼らは、盗み出したデータを公開すると脅迫することで、被害者から身代金を脅し取ろうとします。
司法長官事務所が身代金の支払いを拒否したため、INCランサムウェアグループが盗み出したデータを公開したかどうかは現時点では不明です。しかし、過去の事例から考えると、データを公開する可能性は十分にあります。もしデータが公開された場合、被害者の個人情報が悪用されるリスクが高まり、深刻な被害が発生する可能性があります。
ペンシルベニア州司法長官事務所の対応と影響
ペンシルベニア州司法長官事務所は、今回のランサムウェア攻撃を受けて、直ちにインシデント対応を開始しました。事務所は、連邦捜査局(FBI)に事件を通知し、捜査に全面的に協力しています。また、被害者からの問い合わせに対応するため、フリーダイヤルを開設し、情報提供を行っています。
事務所は、影響を受けた可能性のある個人に対し、電子メールで通知を行いました。通知には、事件の概要、影響を受けた可能性のある情報、および被害者が取るべき対策などが記載されています。事務所は、個人情報の不正使用を防ぐために、信用監視サービスの利用や、身分証明書の再発行などを推奨しています。
今回の攻撃により、ペンシルベニア州の法制度に約1ヶ月間支障をきたしました。裁判所は、特定の刑事および民事事件の期間延長を余儀なくされ、訴訟手続きに遅延が生じました。また、事務所の1,200人のスタッフは、8月を通じて業務を行うために「代替のチャネルと方法」を使用することを余儀なくされました。
司法長官のサンデー氏は、「この状況は確かにOAGスタッフを試しており、典型的なルーチンにいくつかの変更を促しましたが、ペンシルベニア州民を保護し、代表するという私たちの義務と使命にコミットしており、その使命が果たされていると確信しています」と述べています。事務所は、システムの復旧作業を進めるとともに、セキュリティ対策の強化に取り組んでいます。
ランサムウェア攻撃の背後にある脆弱性:Citrix Bleed 2の詳細
今回の攻撃で悪用されたCitrix Bleed 2(CVE-2025-5777)は、Citrix NetScaler ADCおよびGatewayに存在する深刻な脆弱性です。この脆弱性は、認証されていない攻撃者が機密情報を窃取したり、システムを制御したりすることを可能にします。Citrix Bleed 2は、2025年1月に初めて報告され、Citrix社は直ちに修正パッチを公開しました。
しかし、多くの組織がパッチの適用を怠ったため、Citrix Bleed 2を悪用した攻撃が多発しています。攻撃者は、この脆弱性を悪用して企業のネットワークに侵入し、ランサムウェアを感染させたり、機密情報を窃取したりしています。Citrix Bleed 2は、過去数年間で最も深刻な脆弱性の1つとして認識されており、企業や政府機関にとって大きな脅威となっています。
Citrix Bleed 2の脆弱性は、HTTPリクエストの処理における不備に起因します。攻撃者は、特別に細工されたHTTPリクエストを送信することで、メモリ内の機密情報を読み取ることができます。この情報には、ユーザーの認証情報やセッション情報などが含まれており、攻撃者はこれらの情報を悪用してシステムに侵入することができます。
Citrix Bleed 2の脆弱性を悪用した攻撃を防ぐためには、Citrix NetScaler ADCおよびGatewayを最新バージョンにアップデートし、修正パッチを適用することが不可欠です。また、多要素認証(MFA)を有効にすることで、攻撃者が認証情報を窃取した場合でも、システムへの不正アクセスを防ぐことができます。さらに、ネットワークの監視を強化し、不審なアクティビティを早期に検知することも重要です。
類似の攻撃事例と今後の対策
近年、ランサムウェア攻撃は増加の一途をたどっており、企業や政府機関にとって深刻な脅威となっています。今回のペンシルベニア州司法長官事務所に対する攻撃は、ランサムウェア攻撃の脅威を改めて浮き彫りにしました。過去にも、同様の攻撃事例が多数報告されており、多くの組織が甚大な被害を受けています。
2024年には、コロニアル・パイプライン社がランサムウェア攻撃を受け、アメリカ東海岸の燃料供給が一時的に停止しました。また、2023年には、複数の病院がランサムウェア攻撃を受け、患者の治療に支障をきたしました。これらの事例は、ランサムウェア攻撃が社会インフラや人命に深刻な影響を与える可能性があることを示しています。
ランサムウェア攻撃を防ぐためには、多層防御のアプローチを採用することが重要です。まず、脆弱性管理を徹底し、システムを常に最新の状態に保つ必要があります。また、従業員に対するセキュリティ意識向上トレーニングを実施し、フィッシング詐欺などの攻撃に対する警戒心を高めることも重要です。さらに、バックアップ体制を整備し、万が一ランサムウェアに感染した場合でも、迅速にシステムを復旧できるように備えておく必要があります。
今回の事件は、組織がサイバーセキュリティ対策を強化し、ランサムウェア攻撃に対する備えを万全にすることの重要性を示しています。サイバー攻撃の手口は日々巧妙化しており、常に最新の脅威情報に注意を払い、適切な対策を講じる必要があります。組織は、サイバーセキュリティを経営上の重要課題として捉え、継続的な投資を行うことが不可欠です。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Pennsylvania attorney general says SSNs stolen during August ransomware attack | The Record from Recorded Future News - https://therecord.media/pennsylvania-attorney-general-office-data-breach-ssns