読了時間:4分
出典: M L Pearson(Alamy Stock Photo経由)
今月初め、リスク管理プロバイダーCrisis24がサイバー攻撃を受け、同社はCodeRED緊急通知プラットフォームを停止しました。この影響は感謝祭の休暇中に市、郡、州の政府機関に衝撃を与えました。
OnSolve CodeREDプラットフォームは、市、郡、州の政府機関向けに緊急通知や警報を発信する任意参加型のシステムであり、連邦政府が運営する緊急警報サービス(EAS)とは異なります。利用者は、天候による緊急事態や政府サービスの停止などの際に、電話、メール、テキストメッセージを通じて住民に警報を発信するためにこのプラットフォームを利用しています。
水曜日に公開された開示情報によると、Crisis24の親会社であるGardaWorld Corporationは、CodeRED環境の侵害を受けて11月10日にプラットフォームへのすべてのアクセスを停止したと発表しました。「OnSolve CodeREDプラットフォームはサイバー攻撃で損傷を受けたため、当該プラットフォームを廃止しました」と声明に記載されています。「また、このインシデントはその環境内に封じ込められ、他への拡大はありませんでした。すべての顧客はすでに新しいCrisis24のCodeREDへ移行しています。」
今月初め、Incランサムウェア集団がダークウェブのリークサイトで今回の攻撃の犯行声明を出しました。同集団によれば、Incの関係者は11月1日にCodeRED環境へのアクセスを初めて取得し、11月10日にプラットフォームのファイルを暗号化したとのことです。
Incの運営者はまた、身代金交渉の際に、Crisis24が10万ドルの支払いを申し出たが拒否されたと主張しています。その結果、同グループは盗んだデータを販売に出し、11月23日にサンプルを公開したと述べています。
GardaWorldの声明は、「サイバー犯罪グループ」が攻撃の責任を主張していることを認め、脅威アクターがプラットフォームからデータを盗み出し、それが「OnSolve CodeREDの加入者情報を含む可能性がある」と述べています。同社はまた、公開されたサンプルデータがCodeRED由来かどうかはまだ確認できていないとしています。
Dark ReadingはCrisis24にコメントを求めましたが、記事掲載時点で同社からの回答はありませんでした。
政府機関によるCodeRED攻撃への対応
Crisis24は、CodeRED環境が侵害されたことを確認した「直後」に州、郡、自治体政府に通知したと述べていますが、一部の顧客は不意を突かれ、同社に対する不満を公に表明しました。
例えば、コロラド州ウェルド郡の公共安全通信部門は、11月14日に、3日前にCrisis24のIT部門の懸念からCodeREDがオフラインになったと通知を受けたと発表しました。「CodeREDからの追加のアップデートはなく、またCodeREDのウェルド郡担当者からも郡の電話やメールへの返答はありません」と同部門のプレスリリースには記載されています。
他の影響を受けた顧客と同様に、ウェルド郡公共安全通信部門は、CodeREDの障害が911の運用や緊急サービスには影響しなかったことを住民に伝えました。
Crisis24は顧客を新しいCodeREDプラットフォームに移行させましたが(GardaWorldによれば「侵害されていない、別の環境にあり、包括的なセキュリティ監査を受けている」)、一部の顧客は納得していません。コロラド州ダグラス郡保安官事務所は、11月24日にプラットフォームの利用を中止したと発表しました。
「ダグラス郡保安官事務所は、ダグラス郡911委員会と協力し、CodeREDとの契約を即時解除する措置を講じました。我々の最優先事項は市民のプライバシーと保護であり、それがCodeREDとの契約終了の決定につながりました」とプレスリリースは述べています。
保安官事務所はまた、Crisis24から送信された通知文も掲載し、脅威アクターがプラットフォームから加入者の氏名、住所、メールアドレス、電話番号、CodeREDアカウントのパスワードなどの機微なデータを「持ち出した」と警告していました。
マサチューセッツ州チェスターフィールドおよびゴーシェンの町政府は、公共サービス発表の中で、同州のコモンウェルス・フュージョン・センター(脅威インテリジェンス共有組織)がCodeRED攻撃を調査していると述べました。また、このPSAは、Incランサムウェアがリークしたサンプルデータにパスワードが平文で含まれていることを示しており、Crisis24がパスワードを暗号化もハッシュ化もしていなかったことを意味しています。
CodeRED加入者へのリスク軽減策
もしIncの関係者がCodeRED加入者アカウントの平文パスワードを入手していた場合、プラットフォームが停止し、脅威アクターがこれらのパスワードを使えなくなったとしても、個人にとって重大なリスクとなります。まず、攻撃者は偽の警報や通知をユーザーに送信し、盗まれたパスワードを使って警報が正当なものであると信じ込ませることができ、これによりさらなる悪用が可能となります。
さらに、GardaWorldはパスワードの使い回しの危険性を強調しました。「OnSolve CodeREDのパスワードを他の個人または業務用アカウントで使い回している加入者には、直ちにパスワードを変更するよう顧客に通知するよう推奨しています」と同社は開示声明で述べています。
複数のCodeRED顧客が住民に迅速な対応を呼びかけました。例えば、スーシティ市政府は11月28日に勧告を発表し、他のメール、銀行、ショッピング、業務用サービスのアカウントで同じパスワードを使っている可能性のあるすべてのCodeRED加入者に対し、直ちにそれらのアカウントのパスワードを更新するよう呼びかけました。また、勧告では加入者に「可能な限り」多要素認証(MFA)の有効化と、不審な活動がないかアカウントを監視することも推奨しています。
