カレントアウェアネス-E

No.480 2024.05.30

 

 E2700

英国図書館へのサイバー攻撃に関する報告書

電子情報部システム基盤課・岡本史也（おかもとふみや）

 

  2024年3月8日、英国図書館（BL）は2023年10月に発生した同館へのサイバー攻撃に関する報告書を公開した。報告書では、今回のサイバー攻撃を詳細に分析し、攻撃がいつ、どのように起こったのか、図書館サービスやシステム等への影響、危機対応や復旧に向けた取組、リスク評価の結果、今回の事態から得られた教訓等をまとめている。本稿では、報告書の概要を紹介する。

●サイバー攻撃の概要

  2023年10月28日に、同館は、ランサムウェアを用いたサイバー攻撃を受け、オンラインジャーナルや録音・映像資料等のデジタル資料の利用が制限されたほか、資料の閲覧申請を閲覧室で紙の申請書に記入して行う必要が出る等の影響を受けた。2024年1月15日には検索可能なオンライン目録を公開したものの、報告書発行の時点でも完全な復旧には至っていない。

  今回のランサムウェアによる攻撃では、データの削除・暗号化、IT基盤の破壊が行われ、600GB（文書数にして50万件弱）のデータが侵害された。攻撃の目的は、身代金の要求やダークウェブでの販売のための、個人情報や機微情報を含むデータの複製や削除であったと考えられている。侵害されたデータは、財務・技術・人事のチームに属するファイル、機微情報を示すような単語がファイル名に含まれているファイル、データベース等であった。デジタル資料やメタデータについては、同館が安全な複製を保持しているとみられているが、これらを利用するために必要なIT基盤がサイバー攻撃によって破壊された。このようなIT基盤の破壊が、今回のサイバー攻撃によって同館が受けた影響の中で最も大きかった。

  報告書では、同国のナショナルコレクションの形成や研究の支援等、同館の掲げる六つの目標に沿って、被害がもたらした影響を分析している。大きな影響を受けたこととして、資料へのアクセスが困難になったこと等を挙げている。一方で、サイバー攻撃の影響を受けている最中も、同館は開館を続け、また展示・イベント・閲覧室の機能も維持しており、この点は比較的影響が少なかったとしている。

  さらに、サイバー攻撃の原因についても分析し、多要素認証を設定していなかった部分がサイバー攻撃に利用されたとしている。加えて、同館を構成する多様なコレクション・組織に由来する複雑なネットワークや旧来型のシステムがサイバー攻撃の影響を深刻化したとしている。現在、同館では復旧に当たってこれらを改善したIT基盤を構築中である。

  報告書では、今回のサイバー攻撃後のリスクも分析している。サイバー攻撃が成功したことで、ほかのサイバー攻撃が試みられるリスク、早期に従来の状態に戻すこととセキュリティ向上のための変更との間に生じる齟齬のリスク、技術部門のスタッフの人員不足等のリスク、システムの復旧に当たって同館のシステムに特有の複雑なシステム構成によって復旧が遅延するリスク、図書館システムをクラウド移行することに伴うリスク等を指摘している。

●今回のサイバー攻撃から得られる教訓

  報告書では、ほかの機関でも参考になり得る教訓が説明されている。まず、IT基盤やアプリケーション、ネットワーク構成を最新化することで、システムの安全性・強靱性の向上が期待される。また、サイバー攻撃を受けることを前提とした、全てのスタッフのセキュリティ教育やセキュリティの専門人材の確保も重要である。ほかに、組織の持つリスクの全体像の把握、政府標準等のセキュリティ標準への準拠、組織のポリシーの定期的な見直しの重要性が挙げられている。

●おわりに

  近年、日本でも図書館等へのサイバー攻撃が報告されているほか、総務省が令和5年版の『情報通信白書』でサイバーセキュリティ上の脅威の増大について報告している。今回のBLの報告書でも示されたように、日本の諸機関においても、サイバー攻撃の影響を低減し得る対策を行っていくことが重要だろう。

Ref：
LEARNING LESSONS FROM THE CYBER-ATTACK: British Library cyber incident review. BL, 2024, 18p.
https://www.bl.uk/home/british-library-cyber-incident-review-8-march-2024.pdf
“Cyber incident update – last updated 18 December 2023”. BL. 2023-11-29.
https://blogs.bl.uk/living-knowledge/2023/11/cyber-incident.html
“About us”. BL.
https://www.bl.uk/about-us/
島袋元治. ランサムウェア攻撃とその対応について―那覇市立図書館の事例. 沖縄県図書館協会協会誌. 2024, 27, p. 16-19.
https://okitokyo.ti-da.net/e12726501.html
令和5年版情報通信白書. 総務省, 2023, 285p.
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/pdf/00zentai.pdf