ネバダ州のランサムウェア攻撃からの警鐘: 特権アクセス管理の事例

最近、ネバダ州の知事技術局 (GTO) は2025年8月に州のシステムを約1か月間麻痺させた州全体に及ぶランサムウェア攻撃に関する「事後検証報告書」を公開しました。 報告書では、何が起こったかだけでなく、GTO、ベンダー、地方、州、連邦の各機関の法執行関係者間で協力してのインシデント対応の全容について詳述されています。 この州全体を襲ったサイバー攻撃では、機密性の高いシステムやデータへのアクセスを管理し保護するための特権アクセス管理 (PAM) の重要性が浮き彫りになりました。

ネバダ州のランサムウェア攻撃で何が起こったのか？

ネバダ州では2025年8月24日に、最初に複数の仮想マシンがオフラインになり、60の州政府機関のウェブサイト、電話システム、オンラインプラットフォームが停止し、攻撃されたことが発見されました。 ネバダ州保健局などの機関ではシステムがオフラインになったため、職員は回避策を講じて手作業での書類処理に戻る必要に迫られました。 影響を受けた他の機関は、ネバダ州自動車局、ネバダ州公安局、ネバダ州ハイウェイパトロールなどです。 州の主要ポータルである、NV.govと知事室のシステムもオフラインになったり、機能が低下したりしました。

この攻撃の元をたどると最終的に、2025年5月に発生したソーシャルエンジニアリング攻撃にたどり着きました。その当時に州職員がシステム管理ツールを検索し、知らずに悪意のある広告をクリックしたのが原因でした。 そのクリックで、その州職員は偽装されたウェブサイトからマルウェアをダウンロードし、そのマルウェアは攻撃者のインフラストラクチャに接続されたバックドアをインストールし、不正なリモートアクセスが可能になりました。 米シマンテック社のエンドポイント保護ソフト (SEP) が2025年6月26日にマルウェアを検出して隔離しましたが、すでに時遅く、攻撃者はすでに権限を昇格させて州のネットワーク内を水平移動していました。

報告書には次のように記されています。

8月16日～8月24日の間に、攻撃者はRDPを使用して重要なサーバー間を移動し、パスワードボルトサーバーを含む複数のディレクトリ、ファイル、サーバーにアクセスして、26アカウントからパスワードを取得しました。 攻撃者は一貫してイベントログを消去してアクティビティを隠していました。

2025年8月24日に、攻撃者は機密情報のバックアップを削除し、州の仮想インフラ全体にランサムウェアを展開しました。 ネバダ州は最終的に身代金を支払わず、影響を受けたサービスの復旧に必要なデータの90％を回復することができました。 しかし、サービス復旧のためにかかった州職員の残業代に加えて、州は外部ベンダーサポートにも100万ドル以上を支払いました。 盗まれたデータの全容については、現在も調査中です。 ネバダ州最高情報責任者のティモシー・ガルッツィ氏は記者会見で、州のシステムから許可なく一部の州データが流出したと述べましたが、どのような種類のデータが盗まれたかは不明です。

システムが復旧した後、GTOは州のサイバーセキュリティ防御を強化するためにいくつかの変更を加えました。 まず最も機密性の高いシステムを保護し、アクセスを必須の担当者だけに制限するようにしました。 また、PAMの重要な側面である将来の不正アクセスを防ぐために、システムルールと権限の見直しも実施されました。

KeeperPAMが攻撃を抑えるのに役立ったであろう可能性

サイバー犯罪者は、IT部署の職員が高次の権限を持っている可能性が高いことを認識し、特にIT部署の職員をターゲットにして、州のネットワークへの特権アクセスを取得しようとしました。 PAMソリューションでなりすましのウェブサイトへのリンクをクリックするのを阻止することはできなかったでしょうが、悪意のあるツールのインストールをブロックし、攻撃者のラテラルムーブメントや最初の侵入後のボルトやサーバーへのアクセスを阻止することで、攻撃の範囲を限定することはできたでしょう。 KeeperPAMが役立ったであろう点をいくつかご紹介します。

1. エンドポイントの特権昇格を阻止

マルウェアが内部ワークステーションにインストールされたとき、ローカルのエンドポイント保護を迂回してマルウェアが管理者の制御権を獲得しました。 このタイプの権限昇格は、ユーザーが過剰な権限を持っている場合や、承認されていないソフトウェアをインストールできる場合によく発生します。

Keeperエンドポイント特権マネージャー (EPM) は、設計上、最小権限アクセスを強制します。 ユーザーは標準ユーザーとして実行し、昇格された権限を必要とするアプリケーションは明示的に承認される必要があります。 ポリシーにより、信頼できないインストーラーをブロックし、PowerShellとスクリプトの悪用を制限し、特権操作の承認ワークフローを強制できます。 監査ログとアラートを組み合わせることで、セキュリティチームは試行されたすべての昇格要求を可視化できます。 ネバダ州の侵入を引き起こした偽のITツールは、そもそも承認なしにインストールされることはなかったはずです。

2. 永続的に付与されるスタンディング特権を排除

KeeperPAMは、管理者特権が永続的に付与されるリスクを排除します。 ジャストインタイム (JIT) アクセスにより、KeeperPAMは管理者認証情報を必要な時だけ、必要な期間だけ利用できるようにします。 ユーザーはデフォルトで標準権限で操作し、より高い権限が必要な場合は、該当する権限が一時的に付与され、必要なタスクが完了すると自動的に期限切れになります。

KeeperPAMは、管理者とサービスアカウントのパスワードを絶えず変更する、自動認証情報ローテーションも提供しています。 そのためサイバー犯罪者が認証情報を入手できたとしても、それらの情報は数分で使用できなくなります。 ネバダ州の事例に当てはめると、悪意のあるコードは、キャッシュされた管理者の認証情報を盗み取ったり、再利用したりしてサーバー間で水平移動することはできなかったでしょう。

3. ラテラルムーブメントを防止

攻撃者が侵入に成功すると、次のステップはほとんどの場合ラテラルムーブメントで、RDPを介してマシン間を移動して、ドメインコントローラやデータベースサーバーなどの価値の高いターゲットに向かいます。 KeeperPAMがあれば、サイバー犯罪者がRDPを使用してシステムを移動することができないため、ネバダ州での攻撃におけるラテラルムーブメントを大幅に制限したか、または完全に防ぐことができたでしょう。

Keeperコネクションマネージャーは、KeeperPAMのコアコンポーネントであり、サーバーとデータベースにゼロトラストアクセスを強制します。 KCMは、ネットワーク上のRDPポートまたはSSHポートを公開するのではなく、安全なゲートウェイを介してすべてのセッションを仲介します。 認証情報は暗号化されたボルトから直接挿入されます。 ユーザーは認証情報を目にしたり扱ったりすることはありません。すべてのセッションは監査可能で記録されます。 ネバダの攻撃者がRDPやSSHのラテラルムーブメントで盗んだ認証情報を使用して接続を試みた場合、その接続はできなかったでしょう。

4. 認証情報を保護

攻撃のほぼ半数は認証情報の侵害に関わっています。 一旦ネットワークに侵入すると、攻撃者はキャッシュされたパスワード、トークン、またはローカル管理者の認証情報を盗んでネットワーク上を移動することがよくあります。 KeeperPAMはゼロトラストおよびゼロ知識アーキテクチャを採用しています。これは、すべての暗号化と復号化はユーザーのデバイス上でローカルに行われることを意味しています。 Keeperは単に認証情報を保存するのではなく、認証情報の盗難を事実上不可能にする方法で認証情報を分離、暗号化、ローテーション、挿入を行います。

• シークレットはローカルで暗号化され、ユーザー以外の誰も読み取ることはできません。
• 認証情報はエンドポイント上で表示されたり、保存されたり、再利用されたりしません。
• 管理者権限は一時的で厳しく管理されます。
• パスワードとキーは自動的にローテーションされます。
• 完全な監査ログには、説明責任と追跡可能性が確保されています。

ネバダの攻撃者がパスワード管理サーバーに到達したとしても、どのプレーンテキストの認証情報も復号またはエクスポートできなかったでしょう。

5. リアルタイムの監視と迅速な封じ込め

KeeperPAMは特権アクティビティの完全な可視性と制御を提供します。

• すべての特権セッションは記録され、監査やフォレンジックのためにログに残されます。
• ライブセッション監視により、管理者はリアルタイムで疑わしい接続を観察または終了させることができます。
• KeeperAIは自動的にユーザーのアクティビティを分析し、リスクを判断し、疑わしいアクティビティが検出された場合、セッションを終了することができます。
• 即時の認証情報のローテーションと取り消しにより、1回のアクションで侵害されたアカウントをロックダウンできます。
• セキュリティ情報とイベント管理 (SIEM) プラットフォームとSOAR (Security Orchestration, Automation and Response) プラットフォームとの統合により、アラートと対応のワークフローが自動化されます。

これらの制御が導入されていれば、ネバダ州のセキュリティチームは、不正セッションを迅速に特定し、認証情報をローテーションし、データ漏洩が発生する前に侵入を封じ込めることができたでしょう。または、RBIとEPMを併用して、マルウェアのダウンロードを完全に防ぐことができたでしょう。

公的機関向けFedRAMPおよびGovRAMP認可ソリューション

Keeper Security公的機関向けクラウド (KSGC) は、Amazon Web Services (AWS) GovCloud上にホストされているKeeperPAMのバージョンで、FedRAMPのセキュリティとコンプライアンスの要件を満たしています。 AWS GovCloudは、機密データと規制対象のワークロードをホストするように設計され、厳格な米国政府のコンプライアンス基準に対応しています。

KSGCを導入することで、政府機関は、場所やデバイスに関係なく、すべてのアクセス試行を継続的に検証するスケーラブルでゼロトラストのPAMソリューションを利用できます。 ロールベースのアクセス制御 (RBAC) とリアルタイム監視により、最小権限が強制され、すべての特権アクティビティに対して完全な可視性を提供します。

組織がランサムウェアから保護され、ゼロトラスト要件を満たすのにKeeperがどのように役立つか、もっと詳しく知りたい場合には、今すぐ、KSGCのデモをご依頼ください。