約1週間前にソフトウェア会社に対して発生したサイバー攻撃の影響は、米国の多くの州の労働・人材関連機関に波及し続け、失業手当や求職プログラムなどのサービスが利用できなくなっている。
少なくとも9州の労働省および関連機関が影響を受けています。ルイジアナ州労働委員会が今週発表した声明によると、ジオグラフィック・ソリューションズ(GSI)は州の労働取引所と失業保険申請システムの閉鎖を余儀なくされ、GSIのサービスに依存している最大40州とワシントンD.C.が影響を受ける可能性があります。
GSIのポール・トゥーミー社長は、メディア各社への声明の中で、フロリダ州パームハーバーに本社を置く同社は「当社のネットワーク上で異常な活動を確認」し、サービスをオフラインにしたと述べた。トゥーミー社長は、GSIがランサムウェアの攻撃を受けたのか、それとも他の種類のマルウェアの攻撃を受けたのかについては詳細を明かさなかった。
トゥーミー氏は、同社はサイバーインシデントを調査し、再発防止に努めるため、第三者の専門家と連携していると述べた。トゥーミー氏は、7月4日の祝日前にサービスを復旧させたいと考えていると述べたが、金曜日正午時点で、米国東海岸ではGSIのウェブサイトは依然としてオフラインだった。複数の州の機関は、GSIから6月26日にこの問題について通知を受けたと述べている。
同社のLinkedInページによると、GSIは人材育成、労働市場情報、失業保険などの用途のソフトウェアを開発しており、35州以上の州政府および地方自治体向けにオンラインサービスを構築している。350人以上の従業員を擁する同社は、カリフォルニア州、フロリダ州、ノースカロライナ州、インディアナ州などの州政府機関のウェブサイトの実装と管理も行っている。
これらのサービスの停止は、全米で数万人の失業者と求職者に影響を与えています。ルイジアナ州労働委員会のHiREウェブサイトの停止は、同州で失業保険の申請を継続している約11,000人に影響を与えています。
- ゼロ トラスト: 実際には何を意味するのでしょうか。また、なぜそれが必要なのでしょうか。
- 「多作な」NetWalker恐喝犯がランサムウェアの罪で有罪を認める
- 私たちは今、暗号化のない純粋な恐喝としてのランサムウェアの時代に突入しています
- 請負業者、USBの故障で日本の都市全体の個人データを紛失
GSIはテネシー州のJobs4TNサイトも運営しており、同州の失業保険システムと労働力データ交換機能も備えていますが、こちらもオフラインとなりました。州労働力開発局によると、テネシー州民約1万2000人が州の失業保険プログラムと労働力開発プログラムに依存しています。カリフォルニア州雇用開発局は通知[PDF]の中で、GSIのサービス停止によりCalJOBSウェブサイトがオフラインになったと述べています。
ニューハンプシャー州からテキサス州に至るまで、他の州もGSIの障害の影響を受けました。失業・求人情報サイト「NEworks」がオフラインとなったネブラスカ州労働省は声明で、「GSIは、今回の攻撃はGSIのオンラインシステムへのアクセスのみに影響を与え、ユーザーデータが侵害されたという証拠はないと述べています」と述べました。
GSIは、この攻撃はGSIオンラインシステムへのアクセスのみに影響を与え、ユーザーデータが侵害されたという証拠はないと述べています。
GSI はどのような種類の攻撃を受けたかについてはコメントしていないが、Vulcan Cyber のシニア テクニカル エンジニアである Mike Parkin 氏によると、これはランサムウェアのようなものだという。
「ランサムウェアがいかに一般的に使用されているかを考えると、今回のケースも不思議ではありません」とパーキン氏はThe Register紙に語った。「脅威アクターは、サービス拒否攻撃、分散型サービス拒否攻撃、あるいは破壊的なマルウェアを使って単純に業務を妨害することもできますが、特に個人情報が絡んでいる場合、利益を追求する動機がランサムウェア攻撃に有利に働くのです。」
不安定な国際情勢と標的の性質を考慮すると、攻撃は国家または国家が支援する脅威主体によるものである可能性があると彼は付け加えた。
サイバーセキュリティ企業Netenrichの主任脅威ハンター、ジョン・バンベネック氏も、その破壊的な性質からランサムウェア攻撃である可能性が高いことに同意し、The Register紙に対し「より重要な問題は、これらのウェブサイトのユーザーにとってどのような情報が危険にさらされているのか、そしてどのような保護措置を講じるべきかということです。私たちはインシデント対応において企業側の対応に焦点を絞りがちですが、個人情報を盗まれた人々への影響を忘れがちです」と語った。
今回の障害は、サイバー犯罪者が1つの企業を攻撃し、その下流のパートナーや顧客に感染させることでマルウェアの爆発範囲を拡大するという、増加傾向にあるソフトウェアサプライチェーン攻撃の最新の事例です。2020年のSolarWindsへの攻撃はその一例で、ロシアを標的とした犯罪組織Nobeliumが、同社のインフラ管理ソフトウェアOrionのアップグレードに悪意のあるコードを挿入しました。SolarWindsの顧客(多くの米国政府IT部門を含む)がこのアップデートをダウンロードして展開したところ、システムも同様に感染しました。
その他の例としては、1年前にソフトウェアベンダーKaseyaに対して発生したランサムウェア攻撃が挙げられます。この攻撃では、同社のVSAソフトウェアの脆弱性を悪用し、サプライチェーンの下流の組織に感染しました。
サプライチェーン攻撃は悪化するだろう:マイクロソフトセキュリティレスポンスセンター責任者
続きを読む
ベライゾンは2022年のデータ侵害調査報告書の中で、サプライチェーン攻撃が毎年発生するサイバーセキュリティインシデント全体の約10%を占めていると推定しています。ゼロトラストベンダーのZscalerでCISO兼セキュリティリサーチ&オペレーション担当バイスプレジデントを務めるディープン・デサイ氏によると、サプライチェーンリスクは進化しているとのことです。
デサイ氏はZscalerの最近のZenith LiveカンファレンスでThe Registerに対し、従来はSolarWinds事件のように国家がスパイ活動を目的として運営してきたと述べた。しかし現在、金銭目的の脅威グループは、悪意のあるコードで企業を感染させ、「顧客である数千もの下流組織へと展開する」方法にも気づき始めている。
「これは、クライムウェアを操るギャング、特に金融ギャングが、その巧妙さにおいて進化を遂げ、国家レベルの戦略を一部活用していることを示しています」と彼は述べた。「特に、これらの国家レベルのギャングの一部が大きな成功を収めていることを考えると、これは予想通りでした。」
デサイ氏はまた、被害者の下流のパートナーや顧客だけでなく、被害者の上流のベンダーも標的となる多層的な攻撃が見られるようになると予想していると述べた。
Cerberus Sentinel の現場 CISO 兼監査、リスク、コンプライアンス担当副社長の Tim Marley 氏によると、GSI 攻撃は、組織がサードパーティのリスク管理プログラムを開発する必要性も浮き彫りにしているという。
「過去10年間で、オンプレミスシステムからクラウドホスティングソリューションへの大きな移行を目の当たりにしてきました」とマーリー氏はThe Register紙に語った。「私たちは、これらのシステムを直接管理する責任を放棄し、ベンダーに任せています。この変化により、サードパーティベンダーが私たちのシステムとデータを責任を持って安全に管理していることを検証する必要性が、より一層重要になっています。」®
