MoveIt Transfer の欠陥により、データ侵害の開示が相次ぐ

Progress Software の MoveIt Transfer 製品に存在する重大なゼロデイ欠陥により、HR ソフトウェア プロバイダーである Zellis やカナダのノバスコシア州政府などの組織に対する一連の攻撃が発生しました。

この欠陥は、Progress が同社のマネージド ファイル転送 (MFT) ソフトウェア MoveIt Transfer で現在 CVE-2023-34362 として追跡されている SQL インジェクションのバグを詳述した 5 月 31 日に公知となりました。 Progressは、その日遅くにリリースされたパッチに取り組んでいる間、すでに攻撃を受けていたこの脆弱性に対する緩和策をただちに適用するよう顧客に呼び掛けた。 Rapid7 などのセキュリティ ベンダーは、この欠陥が実際に悪用されているとすぐに報告しました。 Microsoftは日曜日、Clopランサムウェア集団と関係のある「Lace Tempest」と名付けた攻撃者による攻撃であるとする新たな調査結果を発表した。

現在、複数の組織が、この脆弱性の結果、直接または下流でデータ侵害が発生したことを確認しています。 英国に本拠を置くゼリス社は月曜日のプレス声明で、「少数の当社の顧客がこの世界的な問題の影響を受けており、当社は顧客のサポートに積極的に取り組んでいる」と述べた。

「このインシデントを認識した後、私たちは直ちに行動を起こし、MoveIt ソフトウェアを使用しているサーバーを切断し、外部のセキュリティインシデント対応専門チームを派遣してフォレンジック分析と継続的な監視を支援しました」と声明には書かれています。 「私たちは英国とアイルランド両国の ICO、DPC、NCSC にも通知しました。私たちはすべてのサービスにわたって堅牢なセキュリティ プロセスを採用しており、すべてのサービスは引き続き通常どおり実行されます。」

BBC、ブリティッシュ・エアウェイズ（BA）、英国の小売業者ブーツはいずれもこの欠陥による攻撃を認めており、BAはTechTargetの姉妹誌であるComputer Weeklyに対して、その侵害がZellisの下流で始まったことを認めた。

カナダのノバスコシア州政府も火曜日、プレスリリースを通じてMoveIt Transferに関連した攻撃を確認した。 政府は、過去および現在の公務員 10 万人もの個人データが侵害の結果、侵害された可能性があると推定しています。

「州は、ノバスコシア州保健局、IWK保健センター、および公共サービスの多くの従業員の個人情報が、MoveItの世界的なサイバーセキュリティ侵害で盗まれたと判断した」とニュースリリースには書かれている。 「これまでのところ、州の調査では、社会保険番号、住所、銀行情報が盗まれたことが示されています。情報の量と種類は雇用主によって異なります。このサービスは従業員の給与振込に使用されるため、この情報は MoveIt ファイル転送サービスを通じて共有されました」情報。"

ニューヨークに本拠を置くロチェスター大学は 6 月 2 日に侵害を公表しましたが、MoveIt Transfer の名前には言及していませんでした。 同報告書は、被害を受けた攻撃の原因を「サードパーティのファイル転送会社が提供する製品のソフトウェアの脆弱性」とし、「大学と世界中の約2,500の組織に影響を与えた」と述べた。

「現時点では、教職員、学生が影響を受ける可能性があると考えていますが、調査が進行中であるため、大学コミュニティのメンバーへの影響の全範囲や、どの個人データがアクセスされたのかはまだわかっていません」とデータ侵害の開示は述べている。読む。 「入手可能になり次第、最新情報を提供します。」

TechTarget編集部は攻撃がMoveIt Transferに関連しているかどうかを確認するために大学に連絡したが、本記事執筆時点では大学からの返答は得られていない。

Clop は今週初め、データ漏洩サイト上で、被害組織が 6 月 14 日までにランサムウェア犯罪組織に連絡しなかった場合、被害者の名前をサイトに掲載し始めると発表しました。それは事後的に侵入テストサービスを提供する」と述べ、支払いが行われなかった場合は7日後に被害者のデータを公開し始めると述べた。

奇妙なことに、Clop はまた、政府機関、市役所、警察署からすべてのデータを消去し、そのような組織はランサムウェアギャングに連絡する必要はないと発表しました。 「我々はそのような情報を公開することに興味はない」とクロップ氏は語った。

Alexander Culafi は、ボストンを拠点とするライター、ジャーナリスト、ポッドキャスターです。