Procter & Gamble confirms data theft via GoAnywhere zero-day
2023/03/24 BleepingComputer — 2023年2月上旬に、消費財メーカーである Procter & Gamble の GoAnywhere MFT セキュアファイル共有プラットフォームに不正侵入が発生し、非公開にされている従業員データが侵害された。このセキュリティ侵害の背後にいる人物については、同社は言及していないが、世界中の Fortra GoAnywhere セキュア・ストレージ・サーバを標的とし、Clop ランサムウェア・ギャングが継続している、一連の攻撃に関連するものだとされる。ただし、Procter & Gamble によると、従業員の財務情報や社会保障情報に対しては、攻撃者によるアクセスは生じていないとのことだ。
Procter & Gamble は、「Fortra GoAnywhere インシデントの影響を受けた数多くの企業の中に、当社も含まれていると確認できる。このインシデントの一部として、P&G の従業員に関するいくつかの情報を、無許可の第三者が入手した。ただし、この不正な第三者が入手したデータには、社会保障番号/国民識別番号/クレジットカード詳細/銀行口座情報などの情報は含まれていない」と BleepingComputer に語っている。
P&G は、このデータ漏洩により、顧客データに影響が生じたという証拠はないが、このインシデントの発覚後に、Fortra GoAnywhere セキュアファイル共有サービスの使用を中止したと述べている。
同社は、「2023年2月初旬に、このインシデントを知ったときに、当社は速やかに問題の性質と範囲を調査し、そのベンダー・サービスの使用を停止し、従業員に状況を通知した。現時点において、この問題により顧客データが影響を受けたという事実は存在しない。当社の事業活動は通常通りに行われている」と付け加えている。
Clop は 130以上の組織からファイルを盗んだと主張
Clop ランサムウェア・ギャングは「GoAnywhere のゼロデイ脆弱性を CVE-2023-0669 を悪用し、130以上の組織のセキュア・ストレージ・サーバに侵入してデータを盗んだ」と、以前に Bleeping Computer に語っていた。
インターネットに公開された脆弱なサーバに対して、このバグを標的として侵入した後に、10日間にわたってデータを盗んだと、Clop は主張している。
また、この脅威アクターは、侵害したファイル共有プラットフォームに保存されている、被害者の文書を盗んだと主張しているが、被害者のネットワーク内を横移動して、ランサムウェアのペイロードを展開することも容易にできたと思われる。
Clop は 3月10日に、データ漏洩サイトに7社を追加し、GoAnywhere 攻撃の被害者に対する公的な恐喝を開始した。
これまでに、GoAnywhere への侵害を認め、Clop に恐喝されていると名乗り出た被害者のリストには、ヘルスケア大手の Community Health Systems (CHS)/フィンテック・プラットフォームの Hatch Bank/サイバー・セキュリティ企業の Rubrik/日立エネルギー/高級ブランド小売店の Saks Fifth Avenue/カナダのトロント市などが含まれている。
BleepingComputer が確認した、被害者に送られたとされる身代金請求書で、このランサムウェア・ギャングは Clopハッカーグループだと名乗り、被害者に機密文書を盗んだことを警告し、交渉に応じない場合は、Clop の漏洩サイトでオンライン公開し、ブラックマーケットで販売するとしている。
その身代金のメモには、「私たちは、あなたの GoAnywhere MFT リソースから重要な情報を盗み出しした、その証拠として。ファイルの全リストを添付したことをお知らせする。私たちは、あなたの組織について、意図的に公表することはない。まずは、経営者と交渉したい。もし、私たちを無視するなら、あなたの情報をブラックマーケットで売り、1日あたり 3~5万人のユニーク・ビジターが訪れる、私たちのブログで公開する」と記されている。
2020年の Accellion 情報漏洩の背景にも
GoAnywhere MFT ゼロデイを悪用して、被害者のセキュア共有サーバから機密ファイルを窃取するインシデントは、2020年12月に Accellion FTA ゼロデイ脆弱性が悪用され、約 100社のデータが盗まれた展開と極めて類似している。
Accellion 攻撃においても、Clop は大量のデータを盗み出し、エネルギー大手 Shell/サイバー・セキュリティ企業 Qualys/スーパーマーケット大手 Kroger などの有名企業に加えて、Stanford Medicine/University of Colorado/University of California などの世界中の大学に対して、$10 million の身代金を要求していた。
また、Clop ランサムウェア・ギャングは 2019年以降において、いくつかのランサムウェア攻撃にも関与しており、Software AG IT/Maastricht University/ExecuPharm/Indiabulls などの被害者のサーバから、ファイルを暗号化して盗み出している。
GoAnywhere MFT ゼロデイを悪用する Clop ですが、この Procter & Gamble が5番目の被害者になったようです。他にも、オーストラリアのリゾート事業者である Crown Resorts も、同じく被害に遭ったとされています。どこまで、続くのでしょうか?
2023/03/17:Hitachi Energy が4番目の被害者
2023/03/15:セキュリティ企業の Rubrik が3番目の被害者
2023/03/02:Hatch Bank のデータ侵害:GoAnywhere
2023/02/10:GoAnywhere MFT:130社からのデータ窃取
IoT OT Security News 
You must be logged in to post a comment.