米国各地の町や都市で、ベンダーのCrisis24に対するサイバー攻撃を受け、CodeRED緊急警報システムへのアクセスができない状態となっている。
現在Crisis24が所有するOnSolve CodeREDプラットフォームに対する攻撃について、複数の自治体がほぼ同一内容の注意喚起を発出している。このプラットフォームは、住民が気象警報、行方不明児童、テロの脅威などの緊急事態に関するリアルタイムの警報を受信できるようにするものだ。
コロラド州ダグラス郡保安官事務所は、住民向けの注意喚起の中で、今週この状況について発表し、CodeREDとの契約を解除し、代替サービスを積極的に探していると明らかにした。
他地域が行った類似の公表文の文面からは、攻撃前から開発が進められていた全く新しいCodeREDプラットフォームをCrisis24が立ち上げるまで、同社との契約を継続する意向であることがうかがえる。
Crisis24は顧客に対し、新プラットフォームは「侵害されていない、分離された環境上に存在し」、「包括的なセキュリティ監査」および「追加のペネトレーションテストと堅牢化」を実施済みだと説明した。
テキサス州ユニバーシティパーク市は、「市のCodeREDアカウントは停止されていますが、職員はベンダーと協力して新たな緊急警報プラットフォームへの移行作業を進めています」と述べた。
「皆さまの個人情報を保護することは当市にとって最優先事項であり、安全で信頼性の高いシステムを提供するベンダーと協力することで、皆さまのデータを保護することに全力で取り組んでいます。」
新プラットフォームが稼働するまでの間、国内の影響を受けたほとんどの地域では、必要に応じてソーシャルメディアや戸別訪問によって同様の緊急通知を発信する対応を取っている。
住民にはCodeREDのパスワード変更も勧告されている。Crisis24が顧客に行った説明によると、犯罪グループに盗まれたデータには、氏名、住所、メールアドレス、電話番号、そしてCodeREDアカウント作成に使用されたパスワードが含まれていた。
ミズーリ州オファロン市は次のように述べた。「CodeREDの警報受信者全員が完全なプロフィールの作成を選択したわけではありません。しかし、もしプロフィール作成を選択しており、かつ同じパスワードを他の個人用または業務用アカウントでも使用している場合は、それらのパスワードを変更することを強く推奨します。」
各自治体の通知によれば、Crisis24は顧客にFAQを提供しており、多くの自治体が自らの注意喚起文の末尾にその内容をそのまま掲載している。
その説明資料では、今回の攻撃はCodeREDに限定されており、他の顧客システムが侵害されたとみなす必要はないと記載されている。
FAQの「なぜこのようなことが起きたのですか?」という項目で、Crisis24は次のように述べている。「残念ながら、近年多くの組織においてサイバーセキュリティリスクや侵入事案が増加しています。」
同社が顧客に攻撃発生を通知した際には、盗まれたデータがオンライン上に流出した形跡はないとしつつも、その状況が今後も続く保証はないと警告していた。
INCランサムウェアグループはこの攻撃の犯行声明を出し、盗まれたデータの一部とされるスニペットをダークウェブ上のブログに公開した。
Crisis24に身代金支払いを迫る圧力キャンペーンの一環として、INCは同社との交渉履歴の一部を公開したとみられる。
それが本物であれば、チャットログからはINCの当初の身代金要求額が95万ドルで、その後45万ドルに引き下げられたことがうかがえる。また、ログによればCrisis24は当初10万ドルの支払いを提示し、その後15万ドルに増額したものの、INCはこれを拒否したとされる。
INCはさらに、同グループのアフィリエイトが11月1日にCrisis24のネットワークへアクセスし、11月10日にファイルを暗号化したと主張した。
身代金の支払いが行われない代わりに、サイバー犯罪グループは盗んだデータを販売すると述べている。データを保有していることを証明するため、その一部はすでに公開されている。
「当社は引き続き、お客様を全面的に支援し、基本的な警報および公共通知の要件が中断なく満たされるようにすることをお約束します」とCrisis24はThe Registerに述べた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/26/codered_emergency_alert_ransomware/
