イランのハッカーがLAメトロを攻撃、700GBのデータを窃取

イランのハッカーがLAメトロを攻撃、700GBのデータを窃取

イランと関係のあるハッカー集団が、米国最大級の公共交通機関であるロサンゼルス郡都市交通局（LACMTA）への大規模侵害に関与していたことが判明した。イスラエルのサイバーセキュリティ企業Gambit Securityは、この侵入をイラン国家支援のアクターによるものとし、メールやシステムバックアップを含む少なくとも700ギガバイトのデータが窃取され、今年初めに同局のネットワークが一部停止に追い込まれたと発表した。この事件は、近年国内公共セクターで起きたイランのハッカーによる重要インフラ侵害事例の中でも特に重大なものの一つである。

LACMTAから何が盗まれ、侵害はどのように進行したのか

Gambit Securityの調査結果によると、攻撃者は侵害が封じ込められる前に、大量の内部データを持ち去った。この700GBに及ぶデータには、従業員のメールアーカイブと運用バックアップが含まれていたと報告されており、いずれも敵対者の手に渡ると重大なリスクを伴う種類のデータである。

メールアーカイブには、日常的なやり取り以上のものが含まれていることが多い。人事記録、内部方針文書、ベンダー契約書、法務関連の通信、そしてサービス運用を通じて収集された利用者に関わる機密情報などが含まれている可能性がある。バックアップは、その構成次第で、システム認証情報、データベースのスナップショット、将来の侵入に悪用され得る設定ファイルなどを含んでいるかもしれない。

この侵害は、ネットワークの一部停止を引き起こすほど深刻であり、これは当局がアクティブな侵害を認識し、被害を抑えるために動いたことを示す対応である。しかし、停止に踏み切ったということは、攻撃者が検知される前にすでに相当なアクセス権を獲得していたことを裏付けてもいる。

公共交通ネットワークが国家支援ハッカーの標的になりやすい理由

公共交通機関は、サイバーセキュリティのエコシステムにおいて厄介な立場にある。中堅企業規模のインフラを管理しているにもかかわらず、予算や人員は地方自治体の一部門並みという状況で運営されていることが多い。現代の脅威モデルが存在する以前に構築されたレガシーシステムが、新しいデジタル発券プラットフォーム、リアルタイム運行ソフトウェア、従業員コミュニケーションツールと並存しており、統一的な防御が難しいセキュリティ態勢のパッチワーク状態を生み出している。

イラン国家に関連するアクターは、まさにこうした種類の組織を標的にする明確なパターンを示してきた。厳重に守られた連邦ネットワークを直接攻撃するのではなく、防御が手薄で混乱を引き起こす可能性が高い公共セクター組織、公益事業、交通システムにますます焦点を当てている。CISAとFBIは、イランのハッキンググループが交通を含む米国の重要インフラ分野全体で脆弱性を活発に探っていると繰り返し警告してきた。

外国の脅威アクターにとって、主要な交通当局への侵害成功は複数の目的を果たす。悪用可能なデータを産出し、能力を誇示し、強化された軍事や諜報標的を攻撃するよりも比較的少ない投資で公共の混乱を引き起こすことができる。

700GBのメールとバックアップが影響を受ける人々にとって何を意味するか

LACMTAの従業員にとっての当面の懸念は、機関のシステムを通じて保存または送信された個人情報および職務情報の露出である。侵害されたアーカイブ内のメールには、スタッフが人事関連のやり取りに内部メールをどのように使っていたかによって、社会保障番号、口座振込先情報、業績記録、健康関連の通信などが含まれている可能性がある。

利用者にとってのリスクは、交通局がどのようなデータを収集・保持していたか、そしてそのいずれかが侵害されたバックアップに紛れ込んでいたかどうかに依存する。非接触型決済システム、アカウントに紐づく乗車履歴、割引運賃プログラムやアクセシビリティサービスに使用される保存済みの個人識別子などは、いずれも存在し得るデータの類型である。

どの程度のデータが持ち出されたのか、その範囲は現在も評価中であることを留意すべきである。700GBという数字は確認された最低限の量であり、必ずしも上限ではない。国家に関連するアクターへの帰属は、そのデータが金銭的利益のために悪用されるのか、情報収集に使われるのか、それとも将来のてことして保持されるのかという疑問も提起する。

この事例は、公的説明責任を負う著名な機関であっても無縁ではいられないことを改めて示している。FBI長官自身のメール侵害が示したように、知名度が高いことは高いセキュリティを意味しない。米国最高の法執行機関のトップでさえメール侵害に直面し得るのであれば、交通当局における認識と現実のギャップはさらに顕著になる。

政府および公共機関は機密性の高い通信をどのように強化すべきか

LACMTAの侵害事例は、基本的なセキュリティ管理への投資不足がもたらすリスクを明確に示している。いくつかの対策を体系的に実施すれば、侵入成功の可能性と、侵入が発生した場合の損害の両方を大幅に軽減できる。

メールセキュリティは当然の出発点である。現代のメール環境は、すべてのアカウントに多要素認証を適用し、ゼロトラストアクセスの原則を適用し、異常な大量データの持ち出し活動を検出できるメールセキュリティゲートウェイを使用すべきである。アーカイブの運用方法も見直すべきだ。フィルタリングされていない何年分ものメールをアクセス可能なシステムに保持することは、時間とともに価値が増す豊富な標的を作り出してしまう。

バックアップのセキュリティも同様に注意を払う必要がある。バックアップは厳格なアクセス制御を施したセグメント化された環境に保存し、理想的には最も機密性の高いスナップショットにはオフラインまたはエアギャップモデルを採用すべきである。バックアップの整合性の定期的テストと並行して、不正なアクセス試行の監視も行うべきだ。

ネットワークのセグメンテーション、継続的監視、インシデント対応計画が、ベースラインを完成させる。ネットワーク内部のすべてを暗黙的に信頼する境界ベースのセキュリティモデルに依然として依存している機関は、国家支援のアクターが悪用方法を知り尽くしている根本的なアーキテクチャ上の脆弱性を抱えたまま運用していることになる。

これがあなたにとって意味すること

ロサンゼルス郡に居住または勤務し、LACMTAのシステムと関わったことがある場合、最も直接的な対応は、金融口座や信用報告書に異常な動きがないか監視することである。万が一、当局からこの侵害に関して連絡があった場合は、通知を真剣に受け止め、詐欺アラートや信用凍結などの保護措置に関する指示に従うこと。

より広範には、この事件はロサンゼルスをはるかに超えて当てはまる原則を再確認させる。あまりに著名で、大規模で、公共性が高いために標的にならない組織など存在しない。LACMTAにおけるイランのハッカーによる重要インフラ侵害は、防御の装備が最も不十分な組織を標的とする外国のアクターの、これまでに記録されているパターンに従っている。

公的機関の職員にとっては、自分の業務用メールを機密性の高い個人アカウントと同様の注意をもって扱うこと。開示されたくないことには一切使用せず、利用可能なすべてのセキュリティ機能を有効にし、異常があれば直ちにIT部門に報告すること。ロサンゼルスでの侵害は、ずさんなデジタル衛生の結果が、一人の受信箱をはるかに超えて広がることを思い出させてくれる。