カリフォルニア州運輸局は、第三者請負業者に対する最近のサイバー攻撃で、顧客の住所やナンバープレートの番号など1年分以上のデータが漏洩した可能性があると州民に警告した。
その請負業者である自動資金振替サービス(AFTS)は金融サービスおよびデータ管理会社であり、カリフォルニア州は自動車所有者の住所変更を確認するためにこの会社を利用しています。
AFTSは2月3日から4日の間にランサムウェア攻撃を受け、「氏名、住所、ナンバープレート番号、車両識別番号(VIN)を含む過去20ヶ月分のカリフォルニア州車両登録記録」が漏洩した可能性があるとDMVは発表している。当然のことながら、これは数百万件もの記録を意味する。
木曜日にDMVに電話で連絡を取った担当者は、今回の攻撃で実際にデータが閲覧または盗難されたかどうかは不明だと述べた。DMVは、「社会保障番号、生年月日、有権者登録、移民ステータス、運転免許証情報」は請負業者に共有されていないため、漏洩していないと強調している。法執行機関にも通知済みで、対応に当たっている。AFTS(オーストラリア運輸省運輸局)にコメントを求めたが、すぐには連絡が取れなかった。
ここまで聞くとひどい話に聞こえますが、実際には状況はもっとひどいかもしれません。TechCrunchの報道によると、この企業は「全米」で利用されているため、今回の侵害はカリフォルニア州の自動車関連事務所の狭苦しく汚い廊下をはるかに超えて、他の多くの組織に影響を及ぼす可能性があります。実際、約12の自治体の公共機関が、ランサムウェア攻撃に関連する潜在的な侵害をすでに報告しています。これについては後ほど詳しく説明します。
AFTSを見れば、この問題の潜在的な範囲がよりよく分かります。同社のサイトは現在ダウンしており、次のような白いページしか表示されていません。
「AFTSのウェブサイトおよび関連するすべての決済処理ウェブサイトは、技術的な問題によりご利用いただけません。できるだけ早く復旧できるよう取り組んでいます。」
しかし、ウェイバックマシンでは、2019年頃の古いウェブサイトがどのような様子だったかを知ることができます。
ご覧の通り、AFTSは大量の財務データを扱っており、「決済処理ソリューション」の提供元として宣伝しています。2019年には、請求書発行、家賃回収、モバイル決済、契約ローン、1031税繰り延べ交換など、様々なサービスを提供していました。これはウェブサイトの古いバージョンであるため、現在もこれらのサービスをすべて提供しているかどうかは不明です。しかし、同社のLinkedInプロフィールにも同様に、取り扱う財務データが多岐にわたることが示されています。
AFTS は、攻撃を受けたすべてのクライアントとデータの詳細を記載した声明を発表していないため、これが実際にどれほど深刻なのかを知ることは不可能です。
しかし、分かっていることはこれだけです。カリフォルニア州DMVはAFTSの唯一の公共部門顧客ではありません。AFTSは多くの都市、特にワシントン州の多くの公共機関と契約を結んでおり、その多くは請求書の支払いサービスにAFTSを利用しています。つまり、機密性の高い財務情報が漏洩したという現実的な危険性があるということです。ここ数週間、多くの都市が住民にこの件を説明するために名乗り出ています。
中でも最大の都市の一つがシアトル市で、同市は昨日、AFTSと契約していることを明らかにした。同市は水曜日に次のように発表した。
市の各部署は、このベンダーを商業請求、印刷、郵送サービスに利用しています。シアトル情報技術局(セキュリティおよびプライバシーチームを含む)の責任者は、AFTS、影響を受けた部署、そして市検事局と協力し、今回のインシデントが個人情報に及ぼす潜在的な影響を把握しています。
マイクロソフトと任天堂の本拠地であるワシントン州レドモンド市も、今月初めに公共料金支払いサービスに関してAFTSと契約を結んだと発表した。声明には次のように記されている。
公共料金顧客の氏名や住所を含む個人情報が漏洩した可能性があります。レドモンド市はAFTSと緊密に連携し、漏洩の範囲と市の情報が漏洩したかどうかの調査を進めています。
ワシントン州カークランド市も最近、この情報漏洩の影響を受ける可能性があると発表しました。「カークランド市は、カークランド市の住宅および商業施設の公共料金請求と小切手による支払い処理をAFTSと契約して行っています」と当局は最近発表しました。影響を受ける可能性のあるデータには以下が含まれます。
公共料金の口座番号、氏名、住所、請求金額。さらに、公共料金を紙の小切手で郵送で支払う住民の場合、その紙の小切手のスキャンコピーもAFTSサーバーに保存され、銀行口座情報とルーティング情報も含まれています。
ワシントン州のモンロー、アルダーウッド、レイクウッド、エバレット、シルバーレイクなどの地域の公共団体も同様の通知を掲示しています。
ええ、ひどい話ですね。AFTSの顧客数や、攻撃でどのようなデータが侵害された可能性があるのか不明なため、今回のデータ侵害の規模も不明です。しかし、既知の顧客と、彼らがAFTSと共有していた情報の種類を見れば、この種の組織がランサムウェアハッカーにとって魅力的な標的とみなされる理由は明らかです。
また、この事件は、サードパーティベンダーが公的機関にとって非常に大きなセキュリティ上の難問であるという事実を改めて浮き彫りにしているようにも思えます(現在進行中の Accellion の混乱とそれがワシントンに与えた影響を参照)。たった 1 回の攻撃が成功すると、非常に広範囲に及ぶデータ侵害が発生する可能性があるからです。
