ランサムウェアで都市全体が麻痺 - セントポール・サイバー攻撃事件

セキュリティ
https://ja.andytips.com/posts/2025/saint-paul-ransomware-attack-interlock-case-study-2025/
目次

昨年7月、ミネソタ州セントポール市で史上最悪レベルのランサムウェア攻撃が発生し、アメリカの自治体史上最も深刻なサイバーセキュリティ事件の一つとなりました。
都市全体のコンピューターシステムが麻痺し、ネットワーク通信が障害を起こし、市民は水道料金も支払えず、図書館ではWi-Fiも使えなくなり、市職員まで業務ができなくなったのです。

これが「インターロック」というハッカーグループが仕掛けたランサムウェア攻撃だったことが判明しました。
腹立たしいのは、市が彼らの要求を拒否すると、これらの犯罪者が43GBもの市民情報をインターネット上に公開してしまったことです。

一体何が起きたのか、詳しく見てみましょう。

事件の発端

実は私もこの事件を知ったのは、セキュリティニュースを見ていた時に偶然見つけたのがきっかけでした。
最近韓国でもランサムウェア攻撃が頻発しているので、海外での動向を追っていたのです。
でも、これは次元が違いました。アメリカの都市全体が膝を屈したのです。信じられませんでした。

都市全体が麻痺するってどんな感覚だと思いますか?
想像してみると、本当に恐ろしくなりました。
日常で当たり前に思っている全てのデジタルサービスが、一瞬にして使い物にならなくなるんです。
(もうインターネットなしでは生活すらできないのでは??)

攻撃の経緯(タイムライン)

事件がどのように展開されたか、時系列で整理してみました。

  • 2025年7月22日: アメリカ・サイバーセキュリティ・インフラセキュリティ庁(CISA)、インターロック・ランサムウェアグループに関する警告を発令
  • 2025年7月25日: セントポール市の自動セキュリティシステムが「疑わしい活動」を初検知、攻撃開始
  • 2025年7月25-27日: 週末を通じて攻撃継続、システム被害が拡大
  • 2025年7月27日: 市当局、さらなる被害防止のため全情報システムを完全遮断
  • 2025年7月28日: 市庁舎・公立図書館のWi-Fi遮断、オンライン決済ツール無効化、内部ネットワークアクセス停止(911 (アメリカの緊急番号) サービスは正常動作)
  • 2025年7月29日: メルビン・カーター市長、地域非常事態を正式宣言 / ティム・ワルツ知事、ミネソタ州兵サイバー保護チーム活性化 / FBI捜査開始、2つの国家級サイバーセキュリティ企業投入
  • 2025年7月30日: 市当局、給与システム麻痺にも関わらず公務員の賃金正常支給予定を発表
  • 2025年8月1日: セントポール市議会、非常事態90日延長を全会一致で決定
  • 2025年8月8日: 手作業による給与処理完了、全職員に正常支給
  • 2025年8月10日: 攻撃者「インターロック」ランサムウェアグループと正式確認 / 「Operation Secure St. Paul」復旧作戦開始(約3,500人対象のパスワードリセット・機器点検)
  • 2025年8月11日: 市当局、身代金要求拒否を正式発表 / インターロック、報復として43GBの盗取データをダークウェブで公開(主に公園・レクリエーション部門文書) / 全職員対象12ヶ月無料クレジット監視サービス提供発表
  • 2025年8月12日: Operation Secure St. Paul第1段階完了(2,000人以上処理)
  • 2025年8月末: 電話サービス、オンライン水道料金支払い、公園・レクリエーション決済システムなど段階的復旧開始

7月のデジタル危機

セントポール市で最初の異常兆候が捉えられたのは、2025年7月25日金曜日の朝でした。
市の自動化されたセキュリティシステムが「疑わしい活動」を検知したのです。しかし既に手遅れでした。

ハッカーたちの攻撃は週末を通じて継続されました。7月25日から27日まで、まさに都市全体がデジタル攻撃を受けている状況だったのです。
市当局はさらなる被害を防ぐため、7月27日日曜日に全ての情報システムを強制遮断しました。

その結果はどうだったでしょうか?
市庁舎と公立図書館のWi-Fiが完全に使えなくなり、オンライン決済システムも全面的に麻痺しました。
市民たちは水道料金を払おうにも支払う方法がなくなったのです。

幸い911 (アメリカの緊急番号) 緊急通報サービスだけは正常に動作しましたが、その他のほとんどの市情報サービスは完全に停止した状態でした。

非常事態宣言

7月29日、セントポールのメルビン・カーター市長はもはや耐えられないと判断しました。
これが単純なシステムエラーではなく、「洗練された外部行為者による意図的で組織的なデジタル攻撃」だと正式発表したのです。

彼は直ちに地域非常事態を宣言しました。
状況がいかに深刻になっていたかを示しています。

ミネソタ州のティム・ワルツ知事もその夜、行政命令を発令してミネソタ州兵のサイバー保護チームを投入しました。
公式理由は「攻撃の規模と複雑性が市の対応能力を超えた」というものでした。
考えてみてください - 都市のサイバー攻撃に州兵まで投入するなんて…これは前代未聞のことです。

FBIも捜査に着手し、2つの国家レベルのサイバーセキュリティ企業も動員されました。
まさに総力戦だったのです。

インターロックの正体

攻撃者の正体が明らかになったのは8月10日になってからでした。
記者会見でカーター市長が発表したところによると、「インターロック」というランサムウェアグループの犯行だったとのことです。(本当に?正しい犯人を見つけられたのでしょうか?)

インターロックは単なるハッカーグループではありません。
アメリカ・サイバーセキュリティ・インフラセキュリティ庁(CISA)が攻撃のわずか3日前に警告を発令していたほど悪名高い組織です。
カーター市長は彼らを「洗練された金銭目的の組織で、企業、病院、政府機関を標的にテラバイト単位の機密情報を盗んで販売する」専門犯罪集団だと説明しました。

彼らの要求は単純でした:
金を払え。

要求額がいくらだったかは公開されていませんが、セントポール市はこれを拒否しました。(ここから本当の戦いが始まります…)

報復とデータ流出

市が身代金支払いを拒否すると、インターロックの報復が始まりました。
8月11日、彼らはセントポール市から盗んだ43GBのデータをインターネット上に公開してしまいました。

幸い流出したデータの大部分は、公園・レクリエーション部の共有ドライブにあったものでした。
業務文書、職員が人事課に提出した身分証のコピー、さらには個人的な料理レシピまで含まれた「多様で体系的でない」資料だったそうです。

しかし、他にどんな内容が流出するかわからないため、市は市民を安心させなければなりませんでした。
市は全職員に12ヶ月間の無料クレジット監視と身元盗用保護サービスを提供すると発表しました。
より機密性の高い情報が流出した可能性に備えた措置だったのです。

復旧作戦の始動

システム復旧のため、セントポール市は大規模な作戦を展開しました。
「Operation Secure St. Paul」と名付けられたこの取り組みでは、約3,500人の市公務員全員がロイ・ウィルキンス講堂の地下に集合し、そこに設置された80台あまりのコンピューターの前に列を作らなければなりませんでした。

職員たちは身分証と社員番号を提示し、約30分間かけてパスワードをリセットし、業務用ノートパソコンのセキュリティ点検を受けなければなりませんでした。
8月10日から12日まで3日間、午前6時から夜10時まで、この作業が続けられました。
完全なリセットです。本当に大変だったでしょうね。

全てのアカウント情報をリセットしてから、
ようやくシステムを一つずつ再稼働させることができたのです。

ランサムウェアとは

改めてランサムウェアについて考えてみましょう。

基本的にはデジタル人質事件です。
ソフトウェアがあなたのシステムに忍び込み、重要なファイルを全て暗号化でロックし、そして - ここが肝心なのですが - 解除するために支払いを要求します。
「金を払うか、全てを失うか」という脅迫です。

現在のランサムウェア攻撃者たちはより狡猾になっています。
単にファイルを暗号化するだけでなく、事前に重要なデータを盗み取ります。
そして被害者が支払いを拒否すると、もう一つの脅威を加えます:「それなら顧客や市民の個人情報をインターネット上に公開する」と。

これを「二重恐喝」と呼びます。

ハッカーの狙い

では、なぜこれらの犯罪者がこのような感染にこれほど多くの時間と労力を投資するのでしょうか?

お金、当然です。
これらの攻撃は深刻な現金を引き出します - 1回あたり数十万、時には数百万を話しています。病院や市政府を標的にすると、見返りは巨大になり得ます。
だから皆がこの流れに乗っているのです。

それからRaaS(Ransomware as a Service)の仕組みがあります。
フランチャイズモデルのようなものです:インターロックのような大きなグループがツールを構築し、小規模なハッカーが実際の攻撃を実行し、皆が利益を分け合います。
「技術は私が担当し、汚れ仕事は君たちがやる」という取り決めです。

暗号通貨も容易にしました。
ビットコイン支払いは追跡がほぼ不可能なので、犯罪者たちはこの方法で身代金を要求することをずっと安全に感じています。

そして正直に言うと?まだ簡単なターゲットがたくさんあります。
地方政府、中小企業 - 多くはセキュリティに十分投資していません。
「私たちには起こらない」と考えているうちに、実際に起こります。
その時は手遅れです。

サイバーセキュリティについてこう言えます:ハッカーが本当に侵入したいなら、最終的には侵入します。全てのシステムには脆弱性があります。
問題は「侵入できるか?」ではなく「どれくらい時間がかかるか?」です。強固なセキュリティは時間を稼ぎます - 時には諦めて立ち去るのに十分な時間を。

個人でできる対策

では、このような攻撃から身を守るにはどうすればいいのでしょうか?

バックアップがあなたのセーフティネットです。
重要なファイルのコピーを外部ドライブやクラウドストレージに保存してください - メインシステムとは別の場所に。
そうすれば、ランサムウェアに遭っても完全に困ることはありません。
ただし一つ注意:バックアップドライブをコンピューターに常時接続したままにしないでください。
マルウェアが拡散すると、それらも暗号化される可能性があります。
毎回取り外すのは少し面倒ですが、価値があります。

全てを最新に保つ。
わかります、わかります - アップデート通知は迷惑ですよね。
しかし、これらのセキュリティパッチには理由があります。
OSやソフトウェアがアップデートを促す時は、先延ばしにしないでください。
ハッカーは既知の脆弱性がある古いソフトウェアを実行しているシステムを特に探します。
利用可能になったらすぐにアップデートをインストールする習慣をつけましょう。

疑わしいメールを毒のように扱う。
実はほとんどのランサムウェアは、コンピューターに魔法のように現れるわけではありません。
通常はフィッシングメールを通じて、あなたが侵入を許可する必要があります。
知らない人からの添付ファイル?削除してください。
怪しいメッセージのリンク?クリックしないでください。
メールについて何か変だと感じたら、おそらく変なのです。
直感を信じてください。

強いパスワードと2段階認証を使用する。
全てのアカウントに異なるパスワード - はい、全て覚えるのは面倒ですが、だからこそパスワードマネージャーがあるのです。
そして可能な限り2段階認証を有効にしてください。
アカウントに侵入しようとする攻撃者にとって、生活をはるかに困難にする追加の層を加えます。

自分を困難なターゲットにする。
セキュリティ専門家が知っていることがあります:決意のあるハッカーが本当に特定のシステムに侵入したいなら、最終的には方法を見つけるでしょう。
しかし良いニュースがあります - ほとんどのハッカーはそれほど我慢強くありません。
彼らは挑戦ではなく、簡単な勝利を探しています。
だからセキュリティ対策を積み重ねてください。
強いパスワード、2段階認証、更新されたソフトウェア、ファイアウォール設定 - 全てです。
あなたのシステムをクラックするのに十分面倒にすれば、ハッカーは通常より簡単なターゲットに移ります。
結局のところ、彼らもビジネスをしているのです。
犯罪者にとっても時間はお金です。

日常のセキュリティ意識

実際、このセントポール事件を調査しながら、多くのことを反省させられました。
日常生活でサイバーセキュリティに対して無頓着すぎたと思います。

私たちの日常生活はデジタル技術と切り離せませんよね?
インターネットバンキングから買い物、SNS、仕事まで…
ほとんど全てがオンラインで行われているのに、セキュリティへの関心が不足していました。

特に「普通の人の私なんて誰がハッキングするの?」という考えは本当に危険だと思います。
ランサムウェアは特定の個人を標的にするのではなく、無差別に拡散することが多いです。
広く網を張って、かかった魚を捕まえるようなものです。

また、もし攻撃を受けても、隠したり一人で解決しようとしてはいけないということも学びました。
セントポール市のように、公然と助けを求め、専門家と協力して解決すべきなのです。

このセントポール・ランサムウェア事件を通じて、サイバーセキュリティがいかに重要かを新たに理解しました。
都市全体が麻痺する可能性があることも衝撃的でしたし、このような攻撃がますます洗練されていることも恐ろしかったです。

これでセントポールの話は終わりです。恐ろしい話でしたね?

あなたのセキュリティ設定はどうですか?怖い体験や役立つコツがあれば教えてください。
コメント欄で共有していただければ嬉しいです - 皆さんがこれらのことについてどう思っているか、ぜひ聞かせてください。