米国各地の州および地方自治体で使用されているOnSolve CodeREDプラットフォームがサイバー攻撃を受け、緊急通知が妨害され、ユーザーデータが流出しました。
この事件により、CodeREDの提供元であるCrisis24は、従来の環境を停止し、新たな隔離されたインフラでシステムを再構築することを余儀なくされました。
この攻撃は、天候イベントや公共の安全脅威、その他の緊急事態の警報をサポートしていた旧プラットフォームに損害を与えました。
Crisis24によると、侵害の影響はCodeRED環境のみに限定されています。調査によりデータが盗まれたことは確認されましたが、その情報がオンラインに掲載された証拠はないと同社は報告しています。
-
氏名、住所、メールアドレス
-
電話番号
-
CodeREDユーザープロファイルに関連付けられたパスワード
複数の都市は、プラットフォームが金融情報を収集していないことを指摘しています。
「CodeREDからは、システムからデータが持ち出された形跡があるものの、現時点ではその情報がオンラインに掲載された証拠はないと通知を受けています。しかし、今後漏洩する可能性があることを住民の皆様にお知らせしたいと思います」と、テキサス州ユニバーシティパーク市は本日発表した緊急通知で述べています。
攻撃の帰属とデータ漏洩
INC Ransomグループが今回の責任を主張しています。ダークウェブの投稿によると、同グループは11月1日にOnSolveのシステムへアクセスし、身代金交渉が決裂した後の11月10日にファイルを暗号化したとしています。また、同グループは顧客データ(平文パスワードを含む)を示すスクリーンショットを公開し、盗んだファイルを販売していると述べています。
15州にわたる多くの地方自治体が住民に通知を出しています。一部の機関はCodeREDの契約解除を試みており、他の機関は安全な環境で新たに構築された新バージョンへの移行を進めています。復元されたシステムは2025年3月31日時点のバックアップに依存しているため、一部のユーザーアカウントが欠落しています。
公共インフラを標的としたランサムウェア脅威についてさらに読む:ハクティビスト主導のDDoS攻撃が公共部門を席巻
各都市は、自身の内部システムには影響がなかったことを強調しています。それでも、他のサービスで同じパスワードを使い回している場合は変更するよう住民に呼びかけています。複数の自治体職員がCrisis24と協力し、完全なセキュリティ監査と外部ペネトレーションテストを経た新プラットフォームへの移行作業を進めていると報じられています。
Crisis24は、旧プラットフォームがすでに恒久的に廃止されたことを確認しています。同社はCodeREDをゼロから再構築しています。
一方、INC Ransomは盗んだと主張するデータのサンプル販売を開始し、影響を受けた機関の間で懸念が高まっています。
翻訳元: https://www.infosecurity-magazine.com/news/cyberattack-disrupts-onsolve/
