NAIC PeopleSoftへのサイバー攻撃、ShinyHuntersが大規模侵害を主張

正体不明の脅威アクターが、全米保険監督官協会(NAIC)への侵入に成功しました。攻撃者はOracle PeopleSoftに存在する重大な脆弱性を悪用しました。この結果、同協会は保険資産への投資格付け付与を一時停止する事態となりました。さらに、PeopleSoftポータル経由のオンライン請求書支払い機能も無効化されました。幸い、技術チームはすでに残りの中核サービスを復旧させています。

ShinyHuntersが犯行を主張

悪名高いサイバー犯罪組織ShinyHuntersは、すぐさまこの侵入への関与を主張しました。同グループはダークウェブ上のポータルに、大胆な声明を公表しています。攻撃者らは、NAIC.orgドメインから3.1テラバイトを超える機密データを窃取したと主張しています。彼らの主張によれば、この大規模なアーカイブには重要な規制関連文書が含まれているとされています。また、信用格付け機関のデータや顧客情報、内部インフラの設計資料も含まれているとしています。ただし、NAICはこの具体的なデータ量について公式には確認していません。また、この特定のグループの関与についても検証を行っていません。

専門的な保険業務機能への影響

今回の深刻なインシデントは、広範な消費者向けサービスではなく、主に専門的な業務機能に影響を及ぼしました。NAICは通常、特定の投資格付けを付与しています。保険会社はこの重要な格付けを利用して、投資資産の評価や規制上の基準値を算出しています。こうした評価を策定するため、NAICは信用格付け機関から広範なデータを収集しています。その上で、全米の保険規制当局に不可欠な分析情報を提供しています。今回の攻撃を受け、複数の格付け機関が必要なデータ送信を一時的に停止しました。そのためNAICは、投資格付けの分類手続き全体を停止しました。この停止措置は、正常かつ安全なデータ交換が完全に再開されるまで続く見通しです。

Oracle PeopleSoftの脆弱性が明らかに

NAICは6月11日に、この不正アクセスを正式に検知しました。その後の調査により、正確な侵入経路が判明しています。攻撃者は、Oracle PeopleSoftに存在する既知の欠陥を悪用し、内部インフラに侵入しました。システムへのアクセス権を確保した後、侵入者は隔離されたデータリポジトリに一時的に到達しました。幸いにも、セキュリティチームはこの侵害された侵入経路を恒久的に封鎖しています。

NAIC関係者によると、この壊滅的な攻撃は、はるかに広範な悪意あるキャンペーンの一部であるとのことです。ハッカーらは、Oracle PeopleSoftを利用するさまざまな組織を組織的に標的にしています。同様のインシデントが最近急増したことを受け、Oracleは重大なセキュリティ警告を発しました。同社は、事前の認証を必要とせずにリモートからシステムを攻撃できる、深刻な脆弱性の詳細を公表しています。

侵害の影響を受けなかったシステム

重要な点として、今回のサイバー攻撃は各州保険局の専用情報システムを侵害していません。独立系のサイバーセキュリティ専門家がネットワークの完全性を徹底的に検証しました。その結果、規制報告や業界データ交換のための主要プラットフォームは、完全に安全な状態を保っていることが確認されています。

初期調査の結果、攻撃者は公開されている法定財務報告書にアクセスしたことが判明しています。また、信用格付け機関の情報や特定の技術ログにもアクセスしていました。この技術データには、古いイベントログやシステム構成ファイルが含まれています。これまでのところ、調査担当者は個人を特定できる情報が侵害された証拠を一切発見していません。さらに、銀行口座情報やクレジットカード記録の流出も検知されていません。

継続する調査とFBIとの連携

NAICは直ちに外部のサイバーセキュリティ専門家を招集しました。専門家らは、ShinyHuntersが公表した資料と内部調査の結果を綿密に照合しています。それと同時に、NAICは連邦捜査局(FBI)と積極的に協力しています。ただし、恐喝犯が身代金を要求したかどうかについて、NAICは開示を拒否しています。また、何らかの金銭的支払いを承認したかどうかについても、確認を拒んでいます。

興味深いことに、今回のインシデントは昨秋発生したMuniOSプラットフォームへの壊滅的な攻撃と酷似しています。あの事件では、高度なランサムウェアによって専門の地方債券開示システムが機能停止に陥りました。その結果、発行体は代替のEMMAプラットフォームを通じて重要書類を一時的に公開しました。いずれのケースでも、主な被害は専門的な業務プロセスに及んでいます。こうした標的とされたプロセスは、安定した金融規制の枠組みを維持する上で不可欠なものです。

NAICは中核サービスの大半を復旧させたものの、依然として慎重な姿勢を崩していません。オンラインでのPeopleSoft支払い機能を再開する具体的な時期については、発表されていません。さらに、保険資産の投資格付けを完全に再開する時期についても、まったくの未定となっています。

翻訳元: https://meterpreter.org/naic-peoplesoft-cyberattack/

ソース: meterpreter.org