ロードアイランド州とDeloitte Consulting LLPの間で合意が成立し、2024年の州の給付管理システム「RIBridges」に対するサイバー攻撃に続いて、同社は追加で700万ドルの財政支援を州に支払うことになります。RIBridgesはロードアイランド州民の公的給付の一元窓口で、Medicaid、フードスタンプ、その他の給付の申請と管理が含まれます。2024年11月、Deloitte Consultingが侵入を特定し、システムを保護するための措置を講じました。州には2024年12月初旬にハッキングについて通知されました。
調査により、ハッカーが約5か月間システムにアクセスでき、その間に338個のバックエンド環境のうち約28個にアクセスし、ロードアイランド州の給付申請者と受取人の約650,000人分の機密データ(州人口の約59%)を流出させたことが確認されました。Brain Cipherランサムウェアグループが攻撃の責任を主張し、8文字のパスワードを破ってドメインコントローラーへのアクセスを取得し、その過程がわずか5分で完了したと自慢しました。盗まれたデータはその後ダークウェブに流出しました。
2025年初頭、州はDeloitte Consultingから500万ドルの支払いを確保して、この事件に関連した直後の費用をカバーし、現在和解合意が最終化され、総財政回収額が1200万ドルに増加することになります。Deloitte Consultingはまた、州との契約でカバーされていなかったセキュリティ強化、運用サポート、事業継続サービスをカバーするために600万ドルを投資することに同意しました。この和解により、州とDeloitte Consultingの間の法的紛争が終結します。
Deloitte Consultingはまたデータ侵害に関連するクラスアクション訴訟に直面し、2025年10月に訴訟を解決することを選択しました。Deloitte Consultingはサイバー攻撃とデータ侵害に関連するすべての請求を解決するために630万ドルの支払いに同意し、不正行為または責任の認識はありません。クラスメンバーは実費損失の償還として最大5,000ドルを請求でき、按分現金支払いを受けることができました。
2025年5月20日:ロードアイランド州がRIBridgesハッキング調査の詳細を公表
ロードアイランド州は、サイバーセキュリティ企業CrowdStrikeによるロードアイランド州給付システム「RIBridges」のBrain Cipher脅威グループによるハッキング調査の調査結果の概要を公表しました。
Brain Cipherのメンバーは、RIBridgesシステムを構成する338個の環境のうち28個にアクセスでき、名前、住所、生年月日、社会保障番号、健康情報などの機密データを盗みました。影響を受けた個人は以前、HealthSource RIポータルを通じてフードスタンプや民間健康保険などの公的給付を受け取るために登録していました。州は2025年1月に約657,000人の個人に通知書を発送し、彼らの機密データが本事件で危険にさらされた可能性があることを知らせました。
法医学調査により、2025年1月に通知を受けた114,879人が実際には影響を受けておらず、一方で追加の107,757人が影響を受けたが2025年1月には通知されなかったことが判明しました。これには、児童扶養制度および児童青少年家族部による雇用確認または検証中に収集されたデータを持つ約30,000人が含まれます。通知書が現在107,757人に送付されています。最終的な総数は644,401人の影響を受けた個人であり、彼らは5年間の無料クレジット監視およびアイデンティティ盗難保護サービスが提供されています。
調査は2024年12月16日に開始され、2025年1月31日に終了しました。州当局によると、Brain Cipherの行為者はDeloitte従業員の認証情報を使用してRIBridges仮想プライベートネットワーク(VPN)を通じてRIBridgesシステムにアクセスしました。Deloitteはロードアイランド州がRIBridgesシステムを管理するために使用するベンダーです。CrowdStrikeは認証情報の取得方法、および多要素認証がバイパスされたか、または実装されていたかどうかを決定できませんでした。
Brain Cipherは最初、2024年7月2日にRIBRidgesシステム内の本番環境以外にアクセスしました。ただし、侵入は2024年11月28日まで検出されませんでした。RIBridges VPNで認証した後、脅威アクターは初期偵察を実行し、アプリケーションサーバーから6つの他のシステムへの横移動を実行しました。イメージファイル実行オプション(IFEO)インジェクションを介して2つのシステムで権限が昇格され、RIBridges環境内の6つのシステムで認証情報の収集が実行されました。
商用利用可能なリモート監視および管理(RMM)ツールが逆プロキシツールとともに使用され、環境へのアクセスを維持していました。5か月のアクセス中に、Brain Cipherは28個のシステムからデータアクセス、ステージング、およびデータ流出を実行しました。大規模なデータ転送は2024年11月にBrain CipherによってRIBridgesシステムから実行されました。
Deloitteにハッキングを通知したのはデータ転送ではなく、むしろ2024年12月4日のBrain Cipherデータリークサイトへの投稿で、データが盗まれたと主張していました。Deloitteは請求を調査し、疑わしい活動を特定しましたが、RIBridgesシステムの侵害が確認されるまで2024年12月13日までかかりました。RIBridgesシステムが侵害されたことが確認されたとき、それはシャットダウンされ、約1ヶ月間オフラインのままでした。システムに対するランサムウェアの証拠は見つかりませんでした。
Crowdstrike調査によると、RIBridgesファイアウォールは2024年9月10日に外部クラウドストレージプロバイダーIPアドレスから内部IPアドレスへのトラフィックを拒否し、2024年11月11日から2024年11月28日の間、ファイアウォール管理ポータルは15個のシステムから外部クラウドストレージプロバイダーへの大規模なデータ転送に関する397のアラートを生成しました。 「Deloitteは私たちが確かに彼らに責任を持たせるいくつかの問題を見逃しました」と州知事Dan McKeeは述べました。「この期間中にこれが検出されないままであることは、単に受け入れられないことです。」McKee知事は、州がアカウンタビリティを確保するための全ての手段を追求していること、およびDeloitteに対する法的措置を検討していることを確認しました。
州はRIBridgesシステムを近代化するためのベンダーを選択する予定ですが、新しいシステムのロールアウトには18~24か月かかる可能性があります。それまで、Deloitteはとともにアップデートしたり、15人の追加採用の予算を要求しており、RIBridges技術リードを含みます。
2025年2月5日:Deloitteはランサムウェア攻撃費用をカバーするためにロードアイランドに500万ドルを支払う
ロードアイランド州知事Dan McKeeは、Deloitteが2024年12月のランサムウェア攻撃に関連して発生した費用をカバーするためにロードアイランド州に500万ドルを支払うことに同意したと発表しました。ランサムウェア攻撃により、州の公的給付の適格性を管理するために使用されるRI Bridgesシステムが長期間停止し、Medicaid、SNAP、HealthSource RI、RI Worksなどのプログラムが含まれます。
サイバー攻撃は2024年12月5日に検出され、RI Bridgesシステムの長期間の停止をもたらしました。650,000人を超えるロードアイランド州民の個人情報が攻撃で盗まれ、身代金が支払われなかったため、データはランサムウェアグループのデータリークサイトに追加されました。盗まれて公開された情報には、名前、連絡先情報、雇用詳細、社会保障番号が含まれていました。
約2か月間、RI Bridgesシステムの停止により、Blue Cross & Blue ShieldおよびNeighborhood Healthによる州が支払う医療保険に登録することができなかったロードアイランド州民の約2,000人が防止されました。Deloitte Consultingの主任Lindsay Musser Houghは、州に500万ドルを支払うコミットメントは過失や過失の認識ではなく、「州とその構成員が悪い行為者のサイバー攻撃への対応をサポートする精神で」提供されていると述べました。支払いを発表する中で、McKee知事は、「Deloitteは州が侵害に関連する直後の予期しない費用を持っていることを認識し、私たちは彼らの財政支援を提供する意欲に感謝しています。」と述べました。
Deloitteはまたランサムウェア攻撃でデータが盗まれた650,000人以上の個人のためのクレジット監視およびアイデンティティ盗難保護サービスを支払い、またデータ侵害コールセンターの費用をカバーしています。
2025年1月13日:ロードアイランド州がRI Bridgesランサムウェア攻撃の影響を受けた個人への通知を開始
ロードアイランド州知事Dan McKeeは、2024年12月のRI Bridgesシステムへのランサムウェア攻撃で盗まれた個人データの個人通知書が2025年1月10日に個人に郵送され始めたことを確認しました。 この事件の影響を受けた個人には、Experianを通じて5年間の無料クレジット監視サービスが提供され、これらのサービスをできるだけ早く利用することが奨励されています。これらの無料サービスに登録する期限は2025年4月30日です。
通知書は、必要なアクティベーションコードを含む、クレジット監視サービスに登録するための指示を提供しています。州民はオンラインまたは電話(833-918-6603)でクレジット監視サービスに登録できます。電話回線は月曜日から金曜日の午前9時から午後9時、週末の午前11時から午後8時まで対応しています。
データ侵害はまだDeloitteによって調査されており、初期レビューで示唆されるより多くの個人が影響を受けた可能性があります。そのような場合、通知書はこれらの個人にすぐに送付されます。 「この侵害がわが州民に引き起こした懸念を理解しています」とMcKee知事は述べました。「これらの書簡が配達されるときの皆様の忍耐力に感謝します。」州当局は、侵入の発生源が特定されており、RI Bridgesシステムを安全に復旧できるようにするための措置が講じられていることに確信を持っています。その過程の最初のフェーズが完了し、第2フェーズはシステムの公開部分を復旧するために進行中であり、2025年1月中旬までにオンラインに戻される予定です。
州はまだ影響を受けた個人数の正確なところを確認していませんが、ランサムウェア攻撃で約650,000人の州民の個人データが暴露または盗まれたことを以前に示唆しています。
2025年12月31日:RI Bridges攻撃の背後にあるランサムウェアグループがダークウェブで盗まれたデータのリークを開始
ロードアイランドのオンライン保健・人間サービスプラットフォームへのサイバー攻撃の背後にあるランサムウェアグループ(Brain Cipher)は、州知事Daniel McKeeによると、ダークウェブで盗まれたファイルのリークを開始しました。Deloitteはダークウェブを監視しており、州司法長官にデータリークについて知らせました。
Brain Cipherグループは、身代金が支払われない場合、盗まれたデータをリークすることを約束し、データリークは身代金が支払われていないことを示しています。Brain Cipherは盗まれたデータのリークを防ぐために暗号通貨で2300万ドルの身代金を要求したと主張されています。 「これは州が準備していたシナリオであり、これが私たちが潜在的に影響を受けたロードアイランド州民に彼らの個人情報を保護するよう奨励するための州全域のアウトリーチ戦略を今月初めに開始した理由です」とAG McKeeは述べました。
McKeeはDeloitteが調査し、どの個人が影響を受けたかを判定するために影響を受けたファイルを確認していると述べ、また流出したデータを分析することを探しています。ただし、流出したデータの分析はまだ完了していません。HIPAA Journalは、データがリリースされたかどうかを判定するためにBrain Cipherダークウェブデータリークサイトを定期的に監視してきました。サイトは大部分がアクセス不可になっており、これは権限のない個人が流出したデータを取得する可能性を制限します。
databreaches.netからの意見の相違は、Deloitteから応答がないため、Brain Cipherグループに連絡しました。グループは彼らが攻撃の背後にいることを確認し、彼らがリークする予定のデータのプレビューを提供し、彼らは彼らのデータリークサイトに対するDDoS攻撃を経験していると述べ、誰かがグループがデータをリークするのを防しようとしていることを示しています。第三者または第三者の身元は不明です。
2024年12月27日:ロードアイランド州ランサムウェア攻撃は州人口の半分に影響を与える可能性があります
ロードアイランドの公的給付システム(RI Bridges)のシャットダウンを強制したサイバー攻撃により、州知事Daniel McKeeによると、州人口の半分以上、約650,000人の個人の個人データが暴露された可能性があります。
McKeeはDeloitteとBrain Cipherグループ間の会話が進行中であり、進展がある場合は知らされており、機密データは現在のところ公開されていないと述べました。彼は攻撃者が盗まれたデータのリリースを防ぐために要求している金額や、身代金を支払う意図があるかどうかについての情報を提供しませんでした。Deloitteは障害のあるRI Bridgesシステムをできるだけ早く復旧するために取り組んでいますが、1月の時点までオンラインに戻される予定ではありません。
2024年12月17日:Brain Cipherグループがロードアイランドランサムウェア攻撃の責任を主張
Brain CipherランサムウェアグループはロードアイランドRI Bridgesランサムウェア攻撃の責任を主張し、身代金要求が支払われない場合、盗まれたデータを公開することを脅かしています。Brain Cipherは比較的新しいランサムウェア操作で、2024年6月に最初に現れました。このグループはすでにインドネシアの国立データセンターへの攻撃を含むいくつかの主要な攻撃を実施しており、200以上の政府機関の運営を妨害し、グループが800万ドルの身代金支払いを要求する事態になりました。このグループはダブルエクスチューション(double extortion)に従事し、身代金が支払われない場合に盗まれたデータが公開されるデータリークサイトを維持しています。
Brain Cipherは今月初めにランサムウェア攻撃の責任を主張し、Deloitteをそのデータリークサイトのリストのサイトに追加しました。Deloitteはランサムウェア攻撃がRI Bridgesシステムのみに影響したことを確認する声明を発表しました。Brain Cipherデータリークサイト上のDeloitteのリストには、身代金が支払われない場合、データリークが2024年12月17日に発生することを示すカウントダウンクロックがありました。ただし、2024年12月19日に、カウントダウンクロックはリセットされた後13時間を示し、依然としてカウントダウンしていました。ランサムウェアグループは身代金支払いのための保有を続けているようです。
2024年12月16日、州知事Daniel McKeeは公共サービス告知を発表し、影響を受けたシステムの過去を使用した州民にアイデンティティ盗難と詐欺から身を守るために直ちに行動を起こすよう奨励しました。RI Bridgesハッキングはランサムウェアグループが盗まれたデータを公開する場合、サイバー犯罪者による意図的なデータ不正使用の試みがほぼ確実に発生します。
2024年12月15日:数十万人のロードアイランド州民がRI Bridgesデータ侵害の影響を受けた
数十万人のロードアイランド州民は、州民が社会サービスと健康保険を取得するために使用するオンラインポータルである州政府のRI Bridgesシステムへのサイバー攻撃でデータが盗まれました。ベンダーDeloitteは2024年12月5日にRI Bridgesシステムの可能性のある侵害を特定し、権限のないアクセスを確認した後、ポータルは予防措置として2024年12月13日にシャットダウンされました。Deloitteは州当局、ITエキスパート、執行機関と協力してサイバー攻撃とデータ侵害を調査し、その影響を制限しています。
サイバー攻撃は最初ランサムウェア攻撃として説明されていませんでしたが、ロードアイランドの最高デジタル責任者Brian Tardiffは、脅威アクターがマルウェアをインストールし、身代金要求を発行したことを確認しました。盗まれたデータの公開を防ぐために支払いが必要でした。何人の個人が影響を受けたか、または攻撃で盗まれたデータの正確なタイプが影響を受けたかはまだ確認されていません。Deloitteはまだデータ盗難事件を評価中であり、名前、住所、生年月日、社会保障番号、および潜在的には銀行口座情報などの情報が関係していそうであると述べました。
- Medicaid
- 補足栄養支援プログラム(SNAP)
- 貧困世帯一時扶養(TANF)
- チャイルドケア支援プログラム(CCAP)
- HealthSource RIを通じて購入された健康保険
- ロードアイランド州Works(RIW)
- 長期サービスと支援(LTSS)
- 一般公共支援(GPA)プログラム
ロードアイランド州知事Daniel McKeeは金曜日、影響を受ける可能性のあるロードアイランド州民の数が数十万人であることを確認しました。ロードアイランド州のデータ侵害調査が完了したときに、データ侵害の影響を受けたすべての個人への個人通知が郵送されます。ランサムウェア攻撃で盗まれたデータの機密性のため、上記のプログラムのいずれかを通じて給付または健康保険に申請した、または取得した個人は誰でも、アイデンティティ盗難と詐欺に対して警戒し、アカウントを密接に監視し、利用可能な無料クレジット監視サービスを利用する必要があります。彼らはまた、3つの主要なクレジット局のいずれかを使用してクレジット凍結または詐欺アラートを配置することを検討し、共通または再利用されたパスワードを変更することをお勧めしています。州当局はこれまでに影響を受けたデータの悪用を検出していません。ハッカーは身代金支払いのために保有を続けており、身代金が支払われない場合、今後1週間以内に盗まれたデータをリリースする可能性があります。州は、ロードアイランド州のデータ侵害の詳細を確認するために、州民のためのヘルプラインを設置しました。ヘルプライン – 833-918-6603 – は月曜日から金曜日の午前9時から午後9時に追加されます。
翻訳元: https://www.hipaajournal.com/rhode-island-ri-bridges-system-hack/
