Up to 11 Million People Hit by MOVEit Hack at Government Services Firm Maximus
2023/07/27 SecurityWeek — 今週に、政府系サービス・プロバイダーの Maximus が発表したのは、2023年の前半において MOVEit サイバー攻撃を受け、最大で 1100万人分の個人情報が盗み出されたという被害の内容である。この、2023年5月末に公表された攻撃は、MOVEit Transfer の MFT (Managed File Transfer) ソフトウェアのゼロデイ脆弱性を悪用するもので、このソフトを介して、脅威アクターは転送されたデータを窃取していた。
サイバー・セキュリティ企業の Emsisoft によると、7月26日時点で 513 の組織が MOVEit のハッキングの影響を受け、約 3,500万人分の個人情報が盗まれているという。
7月26日に米国証券取引委員会 (SEC:Securities and Exchange Commission) に提出された Form 8-K の中で、Maximus は攻撃の影響を受けた一社であることを明らかにした。
Maximus は、「我々は、さまざまな政府プログラムに参加する個人に関するデータを政府と共有する際などで、社内外のファイルを共有する目的で、MOVEit を使用している」と述べている。
同社によると、攻撃者は、少なくとも800万〜1100万人の個人情報と健康情報を含むファイルを窃取し、その中には社会保障番号も含まれるという。Maximus は、このインシデントに関する調査は進行中であり、影響を受けた個人の総数を予測することはできないが、影響を受けた顧客に通知を提供する予定であるとしている。
Maximus は「現時点では、このインシデントが MOVEit の環境を超えて、当社または顧客の内部情報技術システムに影響を与えたという兆候はない。また、このインシデントにより、当社の事業運営に重大な支障は生じていない」とコメントしている。
しかし同社は、このインシデントに関連した調査と修復活動により、2023 Q2 に約 $15M の費用が発生するとしている。
ヴァージニア州レストンに本社を置く Maximus は、34,000人以上の従業員を擁し、米国/英国/オーストラリア/カナダなどの政府機関と協力し、政府が支援する医療/福祉サービス・プログラムを管理/運営している。
MOVEit に関する前回の記事は、2023/07/17 の「MOVEit ハッキング:340 の組織と 1800万人を超える個人が侵害された」でしたが、それから 10日が経過したところで、また、被害の規模が拡大しています。Maximus 関連の被害者を加えると、3000万人近くの被害者数に達している計算になります。このサイバー攻撃を追いかけている Emsisoft には、言語も継続したレポートを期待したいところです。
IoT OT Security News 
You must be logged in to post a comment.