自治体が相次ぎ“サイバー攻撃被害” 格好の標的となる「構造的な弱点」が浮上露呈したサプライチェーンの盲点

英スコットランドのグラスゴーの市議会がサイバー攻撃を受けた。相次ぐ地方自治体への攻撃により、自治体が抱える“構造的な弱点”が明らかになった。

2025年08月07日 09時00分 公開
[Alex ScroxtonTechTarget]

 英国の地方自治体へのサイバー攻撃が相次いでいる。2025年6月には、オックスフォード市議会に続いて、スコットランドの首府グラスゴー市議会が標的となった。その影響はさまざまな行政サービスに及び、市民生活に直接的な打撃を与えた。なぜ地方自治体が相次ぎ狙われたのか。その背景には、攻撃者にとって格好の標的になり得る、地方自治体の構造的な弱点があるとの指摘もある。

侵入経路は外部のサーバ? “サプライチェーンの盲点”が露呈

 市のITサプライヤーであるITコンサルティング会社CGIは、サードパーティーが管理するサーバ上で“悪意のある活動”の痕跡を発見したという。

 市は直ちに影響を受けた可能性のあるサーバ全てをオフラインにしたが、これが原因となり、市が提供するオンラインサービスに多くの支障が発生した。以下のような公共サービスが利用できなくなった。

  • 計画申請記録の閲覧と意見提出
  • 駐車違反などの証拠確認、罰金支払い、異議申し立て
  • 登記担当や歳入および給付金担当からの折り返し連絡予約
  • 出生証明書、結婚証明書、死亡証明書の発行
  • 市議会の職員および元職員のためのストラスクライド年金基金(Strathclyde Pension Fund)のポータルサイト

 さらに、手話通訳の申し込み、情報公開請求、ごみ収集、学校への欠席報告、苦情申し立てなど、複数のサービスに関するオンラインフォームや予定表が利用できなくなったという。

 グラスゴー市議会は、スコットランド警察、スコットランドサイバーコーディネーションセンター(SC3:Scottish Cyber Coordination Centre)、および英国家サイバーセキュリティセンター(NCSC:National Cyber Security Centre)と協力して、事件の調査を行っている。さらに、英国のデータ保護機関である情報コミッショナーオフィス(ICO:Information Commissioner’s Office)に報告した。

 グラスゴー市議会は発覚から1週間後の6月26日(現地時間)に、次のような声明を発表した。「市民の皆様にご不便とご心配をおかけしたことを深くおわび申し上げる。現時点では、データが暗号化されたり、盗まれたりした証拠は見付かっていない。ただし、影響を受けたサーバのフォレンジック調査(インシデントの痕跡調査)が完了するまでは、利用者のデータが失われた可能性があるという仮定に基づいて作業を進めている。今回の攻撃で市議会の財務システムは影響を受けておらず、過去に処理された銀行口座やクレジットカード、デビットカードの情報も漏えいしていない」

 市議会は、市民と市職員に対し、グラスゴー市議会を名乗る人物からの連絡に注意するよう勧告している。メールでやりとりする場合でも、市職員が銀行の口座情報、パスワードなどの個人情報の提供を求めることはないと強調した。

納入業者のシステムが攻撃侵入経路 対策は?

 6月19日は、オックスフォード市議会が月の初めに起きたサイバー攻撃について公表した日だった。この攻撃では、過去に選挙に携わった職員の個人情報の一部が漏えいした可能性がある。市議会を狙って相次いだ2つの攻撃の関連性はまだ見つかっていないが、英国の地方自治体のレガシーシステムの脆弱(ぜいじゃく)さが浮き彫りになった。

 モバイルデバイス管理(MDM)ベンダーJamfで欧州、中東、アフリカ(EMEA)地域のシニアセキュリティストラテジーマネジャーを務めるアダム・ボイントン氏は次のように語る。「地方自治体は市民の個人情報を扱っている。これに老朽化したレガシーシステム、増え続けるサプライヤーという攻撃対象領域(アタックサーフェス)が組み合わせられることで、攻撃者にとって格好の標的となっている」

 ボイントン氏はさらに、次のように助言する。「自治体のセキュリティの度合いは、契約しているサプライヤーのセキュリティに影響される。つまり、組織内の対策だけでは不十分だ。IT機器やITサービスを納入するサプライチェーン全体にセキュリティ体制を拡張する必要がある」

 「サプライヤーが提出する書類のセキュリティ項目を形式的にチェックするだけでは足りない。セキュアな初期設定、多要素認証(MFA)の実装、パッチ(修正プログラム)適用とログ監視など、自組織と同レベルのセキュリティ基準をサプライヤーにも順守させる必要がある。セキュリティ基準を調達プロセスにも組み込み、二次、三次の請負業者のセキュリティを一次請負業者の責任として扱う。ガバナンスの徹底が鍵だ」(ボイントン氏)

翻訳・編集協力:雨輝ITラボ(株式会社リーフレイン)

関連キーワード

情報漏えい | 標的型攻撃


Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方