Norton Parent Says Employee Data Stolen in MOVEit Ransomware Attack
2023/06/20 SecurityWeek — Avast/Avira/AVG/Norton/LifeLock などの有名なサイバーセキュリティ・ブランドを展開する Gen Digital (NASDAQ: GEN) は、先日の MOVEit ランサムウェア攻撃により、従業員の個人情報が漏洩したことを発表した。この攻撃は、5月31日に Progress Software が公表した MFT (managed file transfer) ソフトウェア MOVEit Transfer のゼロデイ脆弱性を悪用したものだ。この SQL インジェクションの脆弱性 CVE-2023-34362 (深刻度 Critical) の大規模な悪用が始まったのは、2023年5月下旬のことだ。しかし、2021年の時点で攻撃者が、この脆弱性について既に知っており、悪用をテストを実施していたことを示唆する証拠が発見された。
このゼロデイを狙った悪用キャンペーンは、Cl0p ランサムウェア・ギャングが操作するものであり、すでに被害者の一部が公開されている。このゼロデイを狙った攻撃により、100以上の組織が影響を受けているとされる。
Cl0p は、過去に GoAnywhere MFT ソフトウェアのゼロデイを悪用して、多数の組織からデータを窃取している。そのリークサイトに、Norton LifeLock が加わったと、サイバーセキュリティ・アナリスト/セキュリティ研究者の Dominic Alvieri が、6月19日の時点で警告している。
Gen は SecurityWeek の問い合わせに応じ、ランサムウェア攻撃による影響を認め、従業員の氏名/住所/生年月日/業務用メールアドレスなどの、個人情報が漏洩したことを明らかにした。
同社は、「我々はファイル転送に MOVEit を使用しているが、システムの既知の脆弱性はすべて修復済みだ。この問題が発覚したとき、我々は環境を保護し、潜在的な影響の調査に直ちにとりかかった。当社の基幹 IT システムやサービスには影響がなく、顧客やパートナーのデータが流出していないことを確認している。しかし、残念ながら、当社の従業員/臨時従業員の個人情報の一部である、氏名/会社メールアドレス/従業員 ID 番号やなどが漏洩し、一部のケースでは、自宅の住所や生年月日などの情報も漏洩している。我々は、直ちに問題の範囲を調査し、関連するデータ保護規制当局とデータが影響を受けた可能性のある従業員に通知した」と述べている。
MOVEit のゼロデイが公開された直後に、CVE-2023-35036/CVE-2023-35708 という、2つの深刻な SQL インジェクションの脆弱性が発見されている。
現在までのところ、いずれも攻撃には悪用されていない。しかし、開発元の Progress は顧客に対して、MOVEit Transfer 環境への不正アクセスを防止するため、早急にパッチを適用するよう呼びかけている。
MOVEit のゼロデイ攻撃による既知の被害者としては、米国エネルギー省/ルイジアナ州自動車局/オレゴン州運輸省/ノバスコシア州政府/British Airways/英国放送協会/Aer Lingus/英国のドラッグストアチェーン Boots/ロチェスター大学/イリノイ州革新技術省 (DoIT) /ミネソタ州教育省 (MDE) などが確認されている。
前回の MOVEit 関連の記事は、2023/06/16 の「MOVEit と行政データ:ルイジアナとオレゴンの数百万人の個人情報が漏えい」でした。それから数日のうちに、また、新たな被害が確認されたわけです。文中では、100社以上に影響が及んでると解説されており、これからも新たな被害が公表されると思われます。よろしければ、MOVEit で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.