Deloitte認証情報を悪用か　64万人の情報が漏えいした攻撃の真相とは：委託先経由で情報流出？

　ロードアイランド州が開いた会見には同州知事のダン・マッキー氏とデジタル責任者のブライアン・ターディフ氏が出席。セキュリティ企業CrowdStrikeが実施した攻撃調査の結果を共有した。

　被害が判明した当初の情報によると、RIBridgesへの攻撃を検知したのはコンサルティング企業Deloitte Touche Tohmatsu（Deloitte）だ。同社はRIBridgesを運用しており、2024年12月5日（米国時間、以下同様）に「攻撃によって機密情報を含むファイルが流出した可能性がある」とロードアイランド州に通知した。その後、サイバー犯罪集団「Brain Cipher」が攻撃の声明を出したこともあり、ロードアイランド州はRIBridgesの一時停止を決めた。

　ロードアイランド州の会見で新たに公開された攻撃の調査結果では、攻撃者がどのようにRIBridgesに侵入し、データにアクセスしたかの詳細が明らかになった。それによると、攻撃者は2024年7月2日、Deloitteの認証情報を不正に使ってRIBridgesシステムに入り込んだ。ただし、攻撃者がDeloitteの認証情報を入手した方法は明らかになっていないという。

攻撃者が5カ月間システムに滞在

　CrowdStrikeによると、攻撃者は州政府ネットワークの外部からRIBridgesの仮想プライベートネットワーク（VPN）に正規の認証情報を使って侵入した。その後、VPN経由でアプリケーションサーバにリモートデスクトップ接続を実施。攻撃者は2024年7月から同年11月にかけてRIBridges内の28システムに不正アクセスし、個人情報を含む特定のデータを第三者のクラウドストレージサービスに転送していたと同社は説明する。最後に不正アクセスがあったのは2024年11月28日だ。

　CrowdStrikeによれば、攻撃者であるBrain Cipherは従来、ランサムウェア（身代金要求型マルウェア）攻撃を実施する。しかし、今回の攻撃ではランサムウェアのインストールが確認されなかった。攻撃者がRIBridgesから他州のシステムに入り込んだ形跡も見つからなかったという。

　Deloitteは2025年2月、攻撃関連の費用をカバーするために、ロードアイランド州に500万ドル（約7億2120万円）を提供することに同意した。影響を受けた利用者のためのアイデンティティー（ID）盗難防止サービスの費用も負担したという。マッキー氏は攻撃の再発防止策として、「RIBridgesを（より安全な）新しいシステムに移行することを目指している」と語る。