- イランのハッカーがCal Waterの2システムに不正アクセスし、5GBのデータを流出
- セキュリティが脆弱なGPSツールが、攻撃者のCal Water侵入口に
- カリフォルニア州内7地区の管理者認証情報が平文でオンライン公開される
テヘランとつながりを持つ脅威グループ「Handala」が、カリフォルニア水道公社(California Water Service、以下Cal Water)への侵入に成功したと主張し、証拠として5GBのデータダンプを公開しました。
Cal Waterは米国最大級の民間水道事業者の一つで、カリフォルニア州全域の数百万もの住宅・商業顧客にサービスを提供しています。
Handalaは今回の侵害を、米軍によるイランへの最近の軍事行動に対する報復だと説明しています。水道供給を停止させることも可能だったが、今のところは意図的に踏みとどまったと主張しています。
GPSツールが侵入口になった経緯
サイバーセキュリティ企業Dataminrが公開されたデータを分析したところ、Handalaが今回の侵害で2つの独立したシステムに不正アクセスしていたことが判明しました。
1つ目は顧客の請求データベースで、Cal Waterの複数地区にわたる氏名・住所・電話番号・口座番号・支払履歴が含まれていました。
2つ目は内部で運用されていたRTKBaseのインスタンスです。RTKBaseはオープンソースのGPS基地局プラットフォームで、カリフォルニア州内の水道インフラを保守する現場作業員が使用していました。
このRTKBaseインスタンスは、不正アクセスが行われた時点で約783時間にわたり稼働を継続しており、Cal Waterが確認された7つの地区にGPS補正データをストリーミング配信していました。
対象地区には、ベーカーズフィールド、チコ、サリナス、ストックトン、ビサリア、サンマテオ、およびカリフォルニア州内に広がる広域エンジニアリング部門が含まれます。
研究者らは、GPSプラットフォーム自体が攻撃の最終目的ではなく、より深部のインフラへ侵入するための入口として利用されたと見ています。
RTKBaseのWebインターフェースは、複数の地区拠点で標準的なHTTPポート10000を通じて外部からアクセス可能な状態になっており、外部の攻撃者が発見・侵入するのは容易でした。
また、このシステムは軽量ハードウェア上に展開されており、インターネットからの不正アクセスに対してほとんど防御力がありませんでした。
さらに、このプラットフォームの管理者認証情報が公開されたダンプ内に平文で含まれており、ファイルをダウンロードした者であれば誰でもシステム全体に即座にアクセスできる状態でした。
7地区すべてのネットワークインフラの詳細も同様に流出しており、Cal Waterのセキュリティチームが守るべきものはほとんど残っていない状況です。
すべての水道事業者が注目すべき攻撃パターン
セキュリティの観点から真剣に向き合うなら、Handalaの「意図的に自制した」という主張は、そのグループの過去の行動を踏まえると相当の懐疑をもって受け止めるべきです。
同グループは2026年3月にStrykerに対して破壊的なワイパー攻撃を展開し、製造・出荷業務を混乱させています。その手口は今回の侵害で記録されたデータ窃取先行のパターンと同一です。
Dataminrのレポートは「Handalaの活動パターンは、初期段階での主張に続き、段階的にエスカレートする行動を取ることが多い」と結論付けています。
「セキュリティチームは今回の情報公開を、破壊的な後続攻撃の前兆と捉え、それに応じた態勢を整えるべきだ」とも指摘しています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は今年、イランのグループが米国の水道セクターの技術を標的にしているとする勧告を発出しています。
今回の侵害は、イランによる米国水道インフラへのサイバー脅威がもはや理論上の話ではなくなったことを示しています。
Cal Waterは侵害について公式には認めていませんが、氏名・住所・電話番号・口座情報がすでに公開されている以上、被害を受けた顧客はフィッシング被害のリスクが高まった状態に置かれています。
Via Security Affairs
