CDK Global

更新:CDKは6月19日にもサイバー攻撃を受け、システムを停止した。

自動車ディーラーのSaaSプロバイダーであるCDKグローバルは、大規模なサイバー攻撃を受け、システムをシャットダウンした。

CDKグローバルは自動車業界の顧客に、CRM、融資、給与計算、サポート・サービス、在庫、バックオフィス業務など、自動車ディーラーの業務全般を処理するSaaSプラットフォームを提供している。

同社は北米で15,000以上の自動車ディーラーに利用されており、全国に数千人の従業員を抱えている。

CDKのサービスを利用するために、カーディーラーはSaaSプロバイダーのデータセンターへの常時接続VPNを設定し、ローカルにインストールされたアプリケーションからプラットフォームにアクセスできるようにする。

昨夜から今朝にかけて、CDKグローバルはサイバー攻撃を受け、攻撃の拡大を防ぐためにITシステム、電話、アプリケーションを停止した。

自動車ディーラー向けのサイバーセキュリティおよびITサービス会社であるProton Dealership ITのCEO、ブラッド・ホルトンによると、この攻撃によりCDKは昨夜午前2時頃、2つのデータセンターをオフラインにしたという。

また、複数の自動車ディーラーの従業員は、CDKはサイバーインシデントに見舞われたことを警告する電子メールを送信した以外、多くの情報を共有していないと話している。

「現在、サイバー事件が発生しています。顧客に対する注意と懸念から、システムの大半をシャットダウンしました。

「現在、全体的な影響を評価中であり、ETAはありません」。

これらの従業員の何人かは、脅威行為者が常時接続のVPNを利用して自動車ディーラーの内部ネットワークに侵入する可能性があるという懸念も共有している。

あるディーラーのIT専門家は、CDKが常時接続のVPNを切断するよう助言したことを明かした。

ホルトンは、デバイス上で実行されているCDKのソフトウェアは、アップデートを展開するために使用される管理者権限を持っており、CDKがデータセンターからの切断を推奨する理由を説明することができると説明した。

CDKが最新のシングルサインオン・プラットフォームに移行した際にアップグレードされた古い認証情報でログインできるとしているユーザーもいるが、このアプリケーションは期待通りに動作しないと言われている。

このインシデントまたはその他の未公表の攻撃に関する情報をお持ちの方は、Signal(646-961-3731)またはtips@bleepingcomputer.com。

広範な混乱

この障害により、自動車部品の追跡と注文、新規販売、融資のために同社のプラットフォームを使用している自動車販売店の間で、広範囲に混乱が広がっている。

従業員たちはRedditで、何もすることがなかった、あるいは紙と鉛筆に戻らざるを得なかったと報告している。停電のために従業員を帰宅させているディーラーもある。

「部品もなく、ROもなく、タイムもなく……ただ死んだ車と、それを示すものも修理する部品もない……」と、あるディーラーの従業員はRedditに投稿した。

「エクセルのスプレッドシートと、配る部品のポストイットノート。大きな仕事は何もない」と別の従業員はコメントした。

CDKからの公式声明はないが、同社はランサムウェア攻撃を受け、バックアップにも影響が出たと噂されている。

しかし、もしランサムウェア攻撃であった場合、停止は数日間、来週以降も続く可能性が高い。

ランサムウェア集団が企業ネットワークに侵入すると、企業データを盗み出しながら他のデバイスに静かに広がっていく。

すべてのデータが盗まれ、脅威者が管理者権限を獲得すると、ネットワーク上のすべてのデバイスを暗号化し、ハッカーへの連絡方法を記した身代金のメモを残します。

暗号化されたデバイスと盗まれたデータは、二重の恐喝スキームに使用され、脅威者は、復号化装置を提供し、盗まれたデータを削除して公開しないよう身代金の支払いを要求する。

このような交渉には数週間を要することもあり、身代金が支払われない場合、脅威者は最終的に企業データを流出させる。このデータには通常、従業員や潜在的には顧客の個人情報が含まれる。

更新 6/19/24: CDKは以下の声明を:

「我々はサイバー事件を積極的に調査している。慎重を期し、顧客に対する配慮から、ほとんどのシステムをシャットダウンし、可能な限り迅速にすべてを稼働させるべく鋭意努力しています。”- CDK。

更新 6/19/24 5:24 PM ET:CDKは、CDK Phone、DMS、Digital Retailを復旧させたという最新情報を顧客と共有しました。また、UnifyとDMSのログインが可能になったと述べています。

しかし、オンラインに戻す前に、他のすべてのアプリケーションのテストを続けているとのことです。