MOVEit と行政データ:ルイジアナとオレゴンの数百万人の個人情報が漏えい

Millions of Oregon, Louisiana state IDs stolen in MOVEit breach

2023/06/16 BleepingComputer — ルイジアナ州とオレゴン州が警告を発したのは、MOVEit Transfer MFT (Managed File Transfer) セキュリティファイル転送システムをハッキングしたランサムウェア・ギャングが、数百万の運転免許証がデータなどを含むデータを窃取し、流出させたインシデントに関するものである。これらの攻撃は、ゼロデイ脆弱性 CVE-2023-34362 を悪用して、5月27日に MOVEit Transfer サーバに対する世界的なハッキングを開始した、Clop ランサムウェア・オペレーションによるものである。一連の攻撃により、世界中で流出したデータが広く公開され、企業/政府/自治体などに影響が及んでいる。


ルイジアナの Office of Motor Vehicles (OMV) および、オレゴンの Driver & Motor Vehicle (DMV) のプレスリリースによると、これらの組織は MOVEit Transfer ソフトウェアを使用しており、上記の攻撃で侵害されている。

数百万枚の運転免許証が盗まれる

昨日の OMV の発表によると、同州により発行された運転免許証/身分証明書/自動車登録証などを持つ全てのルイジアナ市民のデータが、脅威アクターに侵害された可能性が高いようだ。

ルイジアナ州 OMV からの警告には、「ルイジアナ州自動車局 (OMV) は、前例のない MOVEit データ流出の影響を受けた。すべてが確定したわけではないが、被害を受けた政府/企業などの組織のひとつである」と記されている。

OMV によると、影響を受けた人々の、以下の個人情報が流出した可能性が高いとのことだ:

  • 氏名
  • 住所
  • 社会保障番号
  • 生年月日
  • 身長
  • 目の色
  • 運転免許証番号
  • 車両登録情報
  • ハンディキャップ・プラカード情報

その一方で同庁は、それらのデタを Clop が、使用/販売/共有/公開した形跡が無いため、このランサムウェア実行犯が述べている、盗み出してしまった政府のデータは削除する主張どおりに、それらのデータが削除された可能性にも言及している。

今月の初めに Clop は、「急いで伝えたいことは、政府/軍隊/小児科病院などを攻撃する意図はない。それらのデータは廃棄している」と、電子メールで BleepingComputer に語っている。

しかし、そうだとしても、ルイジアナ州に住む数百万人は、自分たちのデータが危険にさらされていると考えるべきだ。彼らは、自身の守るために適切な措置をとり、パスワードをリセットし、銀行口座に信用凍結をかけるだけではなく、疑わしい行動を発剄した際には当局やカード発行会社に報告すべきである。

オレゴン州陸運局も、同様の声明とプレスリリースを発表している。MOVEit Transfer のデータ漏洩により、ID/運転免許証を持つ約 350万人の州民に影響が生じたとしている。

オレゴン DMV のプレスリリースには、「2015年以降において ODOT は、パートナーや顧客との間で、安全にファイル/データを転送するために、Progress Software Corp のファイル共有ツール MOVEit Transfer を使用してきた。6月12日 (月) に ODOT は、不正にアクセスされたデータの中に、約350万人のオレゴン州民の個人情報が含まれていることを確認した。この情報には、公知のものが多く含まれているが、一部は機密性の高い個人情報である」と述べている。

オレゴン州当局は、被害者を特定する立場にないとしている。したがって、すべての市民は、自身の個人情報がサイバー犯罪者にさらされたと捉え、予防措置をとることが推奨される。

6月14日 (水) に Clop は、MOVEit 攻撃で被害を受けた企業を、漏洩サイトにリストアップして恐喝を開始したが、現時点において、盗み出したデータは公開されていない。

さらに、ルイジアナ州/オレゴン州の DMV は、いずれも政府機関に該当するため、それらの接種されたデータは削除されると Clop は主張しているが、信用するのは早計である。たとえ、一連のデータが恐喝に使われなかったとしても、他の脅威者に売却される可能性がある。

したがって、オレゴン州/ルイジアナ州の、すべての影響を受けた人々は、自身のデータを危険なものとして扱うべきである。具体的には、信用情報を監視して、個人情報の盗難の有無を確認し、標的型フィッシング攻撃の可能性に警戒し続ける必要がある。

すでに、MOVEit Transfer 侵害を公表している組織としては、US Federal Agencies/Zellis (BBC, Boots, and Aer Lingus, Ireland’s HSE)/University of Rochester/Gov of Nova Scotia/State of Missouri/State of Illinois/BORN Ontario/Ofcam/Extreme Networks/American Board of Internal Medicine などがある。

Clop には、政府/軍隊/小児科病院などを攻撃する意図はないようで、それらのデータは廃棄しているとのことですが、どこまで信用して良いのかは、まだ分かりません。同様の主張は Lockbit にもあり、2023/01/01 の「LockBit が謝罪:ポリシー違反のアフィリエイトが医療機関 SickKids を攻撃した件について」では、アフィリエイトの一部が、規定に違反して攻撃した旨が記されています。今回については、MOVEit への攻撃により、意図せずにルイジアナ州/オレゴン州の個人情報を取得してしまったということなのでしょう。2023/06/15 の「MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始」にあるように、Clop の恐喝が始まり、これから被害の実態が明らかになってくるのだと思えます。