British Airways/BBC などでデータ侵害が発生:MOVEit @ Zellis の脆弱性悪用が原因

British Airways, BBC and Boots were impacted the by Zellis data breach

2023/06/06 SecurityAffairs — 給与計算プロバイダー Zellis へのサイバー攻撃により、BBC と British Airways の従業員の個人データが漏洩したことが判明した。タブロイド紙の The Mirror は、「英国に拠点を置く Zellis は、ファイル転送ソフトである MOVEit へのサイバー・セキュリティ攻撃の影響を受けたと見られている。Zellis の他に影響を受けた企業の中には、British Airways も含まれている」と報じている。


British Airways の声明では、「我々は、MOVEit というサードパーティを介して発生した、Zellis のサイバーセキュリティ・インシデントにより影響を受けた企業の1つであるという通知を受けた。Zellis は英国内の数百社に給与計算サポートサービスを提供しており、弊社もそのうちの1社だ。弊社は個人情報が漏洩したとされる従業員に通知し、サポートとアドバイスの提供を行った」と記されている。

BBC の広報担当者は、「我々は、私たちのサードパーティ・サプライヤーである Zellis でのデータ侵害を認識しており、侵害の程度を緊急に調査するため、彼らと緊密に協力している」と述べている。

先週には、Progress MOVEit Transfer のゼロデイ脆弱性を活発に悪用する脅威アクターたちが、いくつかの組織からデータを窃取していると、複数のセキュリティ企業が報告している。

MOVEit Transfer は、安全なファイルの転送を望む企業が使用する、マネージド・ファイル転送ソフトであり、SFTP/SCP/HTTP ベースのアップロードを介してファイル操作が行われる。

いま、問題となっているのは SQL インジェクションの脆弱性であり、その悪用に成功した脅威アクターは、MOVEit Transfer のデータベースに未認証でアクセスできるようになる。

Progress のアドバイザリには、「MOVEit Transfer の Web アプリケーションに存在する、SQL インジェクションの脆弱性により、認証されていない攻撃者が MOVEit Transfer のデータベースに不正にアクセスする可能性がある。使用されているデータベースエンジン (MySQL/Microsoft SQL Server/Azure SQL) によっては、攻撃者はデータベースの構造や内容に関する情報を推測し、さらにデータベース要素を変更/削除する SQL ステートメントを実行可能な場合がある」と記されている。

この脆弱性は、MOVEit Transfer の全バージョンに影響するが、クラウド版には影響しないとのことだ。また、同社はこの攻撃に関する IoC (Indicators of Compromise) を共有し、いずれかの指標に気づいた顧客は、直ちに同社のセキュリティチーム/IT チームに連絡するよう促している。

5月31日までに、Rapid7 の専門家たちは、インターネット上で一般にアクセス可能な約 2,500件の MOVEit Transfer のインスタンスを発見しており、その大半は米国に位置していることが判明している。Rapid7 は「我々のチームは、これまでに複数の顧客環境で同じ Web シェル名を観測しており、これは自動的な搾取を示す可能性がある」と、レポートで述べている。

MOVEit Transfer


給与処理業者である Zellis は、数十社の顧客を有しているため、同社が管理する MOVEit Transfer のインスタンスは、相当数にのぼる可能性がある。

また、Zellis の顧客の1つである英国の健康/美容小売/薬局チェーンの Boots も、この攻撃の影響を受けたことが確認されている。同社は、影響を受けた従業員の数については、まだ明らかにしていない。

また、航空会社である Aer Lingus は、同社における現在/過去の従業員データの一部が、公表されたことを確認している。

6月6日に Zellis は、Web サイトで以下の声明を発表した:

Zellis ーーー「この世界規模のインシデントにより、少数の顧客が影響を受けていることを確認しており、積極的にサポートに取り組んでいる。我々が所有する全てのソフトウェアが影響を受けたというわけではなく、当社における他の IT 資産に関連するインシデントや侵害は確認されていない。ーーー

ーーー 我々は、このインシデントを発見した後に直ちに行動を起こし、MOVEit ソフトウェアを使用しているサーバを切断し、フォレンジック分析と継続的な監視を支援を、外部のセキュリティ・インシデント対応チームの専門家に依頼した。また、英国およびアイルランドの ICO/DPC/NCSC への通知を行った。我々は、全てのサービスにおいて堅牢なセキュリティプロセスを採用しており、すべて通常通り稼動している」ーーー Zellis

すでに同社は、英国/アイルランドの CSA (Cyber Security Agency) に、セキュリティ侵害を報告している。

MOVEit の脆弱性悪用 (CVE-2023-35036) が止まりません。この、英国でのインシデントは、MOVEit を使用する Zellis という給与計算プロバイダーが侵害され、そこと契約していた数十の企業の機密情報が流出したというものです。ほぼ同時期と言っても良いと思いますが、日本でも 6月9日に、エムケイシステムの給与計算支援サービス 社労夢 が、サイバー攻撃に遭ったとのことです。こちらが MOVEit に関連しているのかどうかは分かりませんが、サプライチェーンが狙われていることは、世界中で共通しているようです。よろしければ、MOVEit で検索も、ご利用ください。