緊急通知の単一点障害が露呈：OnSolve CodeREDへの攻撃が「可用性と信頼」を同時に揺さぶった件

今日の深掘りポイント

• 緊急通知SaaS（OnSolve CodeRED）が攻撃を受け、可用性低下とデータ流出が同時発生したと報じられています。公共安全の「最後の一里」を担う基盤の脆弱性が表面化した事案です。
• 攻撃者を自称するINC Ransomが関与を主張し、顧客データ販売を示唆しています。現時点でオンライン公開の確証は限定的とされつつも、自治体は住民へ通知・パスワード変更喚起を進めています。
• 旧環境を停止し、隔離した新インフラで再構築する対応が進んでいると報じられており、ベンダ依存のBCPとテナント分離の実効性が問われています。
• 重大性・即応性が高い一方、攻撃手口や被害範囲の全容は流動的です。CISOは「可用性・整合性の両リスク」を前提とした代替連絡網と第三者リスク統制の再設計が不可欠です。
• MITRE ATT&CKでの仮説マッピングを踏まえ、偽通知・通知不能・静的流出の3系統シナリオそれぞれに備える具体アクションを提示します。

はじめに

米国の広範な自治体・公共機関が住民通知に用いるOnSolveのCodeREDがサイバー攻撃を受け、通知の妨害（可用性低下）とユーザーデータの流出が発生したと報じられています。攻撃を自称するINC Ransomは侵害と暗号化の実行を主張し、データ販売をほのめかしています。複数自治体が住民に対し、パスワード変更等の注意喚起を行う動きが出ています。報道では、旧システム停止と隔離インフラでの再構築に踏み切ったとされ、重要サービスを担うSaaSの単一障害点（SPOF）リスクが現実化した格好です。

この種の攻撃は、機密性（流出）だけでなく、可用性（送出不能）と整合性（偽通知）を同時に脅かします。とりわけ災害期や選挙期は社会不安の誘発リスクが増幅し得るため、地政学的にも優先度の高い対応領域といえます。本稿では、入手可能な一次報道ソースに基づく事実関係と、CISO・SOCマネージャー・TIアナリスト向けの実務的インサイトを提示します。参考情報は末尾に記します。

深掘り詳細

いま分かっている事実（報道ベース）

• OnSolveの緊急通知プラットフォームCodeREDがサイバー攻撃を受け、通知が妨害され、ユーザーデータが盗まれたと報じられています。
• 攻撃を自称するINC Ransomは侵害日や暗号化実行日を主張し、顧客データ販売の意図を示しています。現時点でオンラインに確認可能な大規模なデータ公開の決定的証拠は限定的とされています。
• 旧システムの停止と、新たな隔離インフラ上での再構築が進んでいると報じられています。
• 多数の自治体が住民にパスワード変更を促すなど、影響範囲は少なくとも複数州に及ぶ模様です。
• 以上は公開報道に基づく情報であり、攻撃ベクタや被害規模の最終確定には時間を要します。
  参考: Infosecurity Magazineの報道

注: 上記の具体的日付や影響範囲の詳細は、現時点では報道依存の一次情報です。ベンダ公式の包括的なインシデントレポートが公開されていない段階では、確度評価を留保するのが妥当です。

編集部のインサイト（実務への示唆）

• 可用性と整合性の同時リスクが本質です
  緊急通知は「届くこと（可用性）」と「正しいこと（整合性）」の両立が価値の源泉です。暗号化や停止で通知不能になるだけでなく、攻撃者が送信権限を奪取した場合に「偽の避難・治安情報」を発することで、二次被害（混乱・恐慌・誤避難）が生じます。セキュリティ計画は、C（機密性）だけでなくA/Iの劣化に重心を置く必要があります。
• マルチテナントSaaSの「爆風半径」をどう抑えるか
  再構築や隔離の報は、少なくとも環境分離と権限設計に見直しが入っていることを示唆します。顧客側からは、テナント分離の実装証跡（論理・物理/ネットワーク・IAM境界・鍵管理）、緊急時のRTO/RPO、代替送達経路の確保（メール/SMS/音声/Cell Broadcast/防災無線など）を契約レベルで明確化し、検証可能な運用証跡（演習結果・監査報告）を求めるべきです。
• 「最後の一里」を外部委託するなら、同時に「最後の備え」を
  住民連絡・従業員安否確認・危機コミュニケーションを外部SaaSに委ねるほど、オフライン連絡網（印刷済み連絡表・固定電話・無線・代替ベンダ）とオーソリティ検証（合言葉・署名付きURL・送信者IDの事前周知）を用意しておく必要があります。偽通知へのレジリエンスはテクニカルコントロールだけでは成立しません。
• 指標面の俯瞰
  本件は社会的影響の大きさと即応の必要性が突出している一方、全容確定の前段階という性格が強い事案です。したがって、早期の暫定コントロール（認証情報ローテーション、メッセージ送出権限の最小化、代替経路の起動）と、中長期の構造改革（ベンダ二重化、権限境界の再設計）を並走させる判断が求められます。

脅威シナリオと影響

以下は報道を踏まえた仮説シナリオであり、最終確定情報ではありません。検討の起点として提示します。

• シナリオA：通知不能（可用性劣化）
  想定手口

  • 初期侵入：Valid Accounts（T1078）、Phishing（T1566）、Exploit Public-Facing Application（T1190）
  • 横展開・権限奪取：Remote Services（T1021）、Credential Dumping（T1003）
  • 影響：Data Encrypted for Impact（T1486）、Service Stop（T1489）、Inhibit System Recovery（T1490）
    想定影響
  • 災害・避難・治安情報の遅延/不達。住民・従業員の安全確保に直結するRTO超過。
  • 単一ベンダ依存の場合、自治体・企業の危機管理KPI（応答率・到達率）が一気に悪化。

• シナリオB：偽通知（整合性劣化）
  想定手口

  • 管理アカウント乗っ取り：Valid Accounts（T1078）
  • 送達内容の改ざん/なりすまし：Transmitted Data Manipulation（T1565.002）、Attack the human interface（運用甘えによる誤送信誘発を含む）
    想定影響
  • 誤避難・交通混乱・治安不安の惹起。ブランド・行政信頼の毀損、訴訟・政治的責任追及。
  • 偽情報収束のための広報・再通知コストが連鎖。

• シナリオC：静的流出＋恐喝（機密性劣化）
  想定手口

  • データ発見・収集：Cloud Service Discovery（T1526）、Collection（T1056/領域に依存）
  • 流出：Exfiltration Over Web Services（T1567.002）またはExfiltration Over C2 Channel（T1041）
  • 防御回避：Impair Defenses（T1562.001）、Indicator Removal on Host（T1070）
    想定影響
  • 連絡先情報の二次不正利用（フィッシング、スミッシング、恐喝）と、なりすまし通知の踏み台化。
  • 住民・従業員への追加的な詐欺被害と、継続的な信頼低下。

リスク増幅要因（横断）

• マルチテナントにおける権限境界の実装不備
• 管理者の過剰権限・長期トークン・弱MFA設定
• 送信チャネルの単一化（SMSのみ等）と、送信者ID/ドメイン認証の未整備
• テーブルトップ演習未実施による初動の遅延

抑制要因（横断）

• テナントごとの物理/論理分離と管理プレーンの独立性
• JIT（Just-in-Time）管理者、強制MFA、地理/ネットワーク制約
• 代替ベンダ・オフライン運用の計画と定期演習
• 送信の多要素承認（Four-Eyes原則）、異常送信のレート制御・ルールベース検知

セキュリティ担当者のアクション

優先度順に、自治体・公共機関・民間企業（危機管理/安否確認をSaaS委託）で即実施可能なコントロールを示します。

• 0〜24時間（初動）

  • ベンダ連絡・状況把握：影響範囲、侵害指標（ログイン元IP、異常API呼び出し、タイムライン）と暫定対策（トークン無効化、強制パスワードリセット）を入手します。
  • アカウント衛生：緊急通知SaaSの全管理アカウントに対し、強制MFA化、パスワード/トークン即時ローテーション、不要アカウント削除を実施します。
  • 送信権限の最小化：メッセージ作成・承認・送信を職務分離し、四眼承認ワークフローを暫定適用します。
  • 代替経路の即時起動：メール・音声自動発信・別SaaS・地域防災無線・内線放送など複線化を有効化し、重要メッセージに「真正性確認の合言葉」や公式サイトの検証URLを同梱します。
  • 広報テンプレートの配備：偽通知や遅延が発生した場合に備え、定型文（Q&A/行動指示/検証方法）を準備し、ウェブ・SNS・放送を束ねて即時配信できる状態にします。

• 24〜72時間（封じ込め）

  • ログと地理分析：不可能移動、深夜帯の大量メッセージ作成、APIレート異常などをSIEMでクエリ化します。
  • データ最小化：SaaS上の保持データを棚卸し、連絡先・属性の最小化と保持期間の短縮を実施します。エクスポートデータ（CSV等）の散逸防止も徹底します。
  • ドメイン整備：送信元ドメイン/番号の正規性を住民・従業員向けに周知し、メールはSPF/DKIM/DMARCの整備、SMSは短縮URLの署名・固定化（ブランドドメイン）を進めます。

• 7〜30日（恒久対策）

  • ベンダ二重化とフェイルオーバー訓練：主要メッセージは「最低2チャネル/2ベンダ」から送れる状態にし、月次/四半期で送達率・遅延の演習を行います。
  • 管理プレーンのゼロトラスト化：緊急通知SaaSの管理アクセスに専用IdP・条件付きアクセス（地理/IP/端末健全性）・JIT管理者・強制ローテーションを適用します。
  • 契約の改定：RTO/RPO、監査権、テナント分離の実装証跡、年次ペンテスト結果、ログの顧客側長期保管、インシデント通知SLA、侵害時の一時的補償スキームを明文化します。
  • 攻撃シナリオ別テーブルトップ：通知不能、偽通知、静的流出の3本立てで、技術・法務・広報・危機管理の連携演習を実施します。

• 日本の組織向け補足

  • 自治体はJ-ALERTやL-Alert、防災行政無線、携帯キャリアのエリアメール/ETWS等の公的チャネルと、SaaS通知（メール/SMS/音声/アプリ）を組み合わせ、相互バックアップ設計にします。
  • 企業は安否確認SaaS一本足打法を避け、従業員ポータル、電話連絡網、メッセージング（Teams/Slack）の代替動線を持たせ、従業員に「正規通知の検証方法（送信元ID/合言葉/公式サイト確認）」を周知します。

最後に、今回のケースは、緊急通知という社会基盤に対する攻撃が「情報セキュリティの三要素」を同時に試す典型例です。緊急性・実務的可動性が高い一方、確定情報は今後も更新される見込みです。CISOは一次情報の追跡を続けつつ、可用性・整合性を守る暫定コントロールと冗長化を先んじて打ち、住民・従業員の安全を確保すべきです。

参考情報

• Infosecurity Magazine: Cyberattack Disrupts OnSolve CodeRED Emergency Notification System（報道） https://www.infosecurity-magazine.com/news/cyberattack-disrupts-onsolve/