Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

地方行政のクラウド化の鍵はセキュリティ

米国オクラホマ州のTulsa(タルサ)市のシステムがハッキング被害を受けたとの事。

www.newson6.com

The City of Tulsa confirms computer hackers broke into several City controlled accounts but says it appears there have been no effects on city systems.

According to city officials, six “cloud-based” systems were compromised but they were immediately disabled. Mayor G.T. Bynum says this is not the first time something like this has happened

(Newson6記事より引用)

 

■公式発表 City of Tulsa (※どうやら発表されてなさそうです)

 

◆キタきつねの所感

襲われたとは言え、個人情報漏えい等の実質的被害は無かったようです。6つのクラウドベースのシステムが侵害を受けたとあるのが気になります。地方行政としてサービスのクラウド化は日本のそれより早く進展している事を指しているのだと推測しますが、日本でもクラウド化を進める際には、襲われる事を前提としてセキュリティを考える必要性を改めて感じます。

 

地方行政組織が襲われたケースでは、忙しくて記事に仕上げられてませんが、3月にアトランタ市がランサム被害を受けて大混乱しました。こちらもクラウドを攻められたケースとなります。

www.itmedia.co.jp

ハッカー側からすれば、とりあえず攻撃できそうなら侵入してしまうような攻撃も含め、APT(標的型)攻撃だけではなく、地方行政のシステムも脅威に晒されていると言えそうです。

最近の記事(そろそろ日本の事件記事が出なくなってきています)では、ランサム(身代金)要求が5.2万USドル(約570万円)であったのに対して、アトランタ市が対応に費やしたのが260万USドル(約2.8億円)との事。

www.wired.com

概算費用がアトランタ市のHPに出ていましたが、

Emergency Procurements | Department of Procurement

 

Incident Response Service等々、外部のセキュリティ企業(セキュリティのプロ)のサポートを受けないと収集がつかないのがよく分かります。

事件が発生した際にこれだけの費用を払うのが分かっていれば、もっとセキュリティ対策にも予算が振られるのでしょうが、自組織がソレに気づくのは事件が起きた後。せめてまだ襲われてない日本の地方行政組織は、こうした事件を見て、リスク(と対策)をしっかりと検討しておくべきでしょう。

 

市役所のイラスト

 

更新履歴

  • 2018年5月6日PM(予約投稿)