Sony confirms data breach impacting thousands in the U.S.
2023/10/04 BleepingComputer — Sony Interactive Entertainment (Sony) は、サイバー・セキュリティ侵害により個人情報が流出したとして、現従業員および元従業員と、その家族に対して通知を行った。Sony は、約 6,800人の個人に対して情報漏えいの通知を送付し、MOVEit Transfer プラットフォームのゼロデイ脆弱性が悪用され、不正アクセス者に侵入されたことを認めた。
このゼロデイとして登場した脆弱性 CVE-2023-34362 は、リモート・コード実行へといたる深刻な SQL インジェクションに起因するものである。6月下旬の時点で Clop ランサムウェアが、Sony Group を被害者リストに追加したが、これまで同社は公表してこなかった。
データ漏洩の通知書によると、このインシデントが発生したのは 5月28日であり、Progress Software MOVEit の脆弱性を、Sony が知る3日前のことだった。ただし、それを Sony が発見したのは、6月の初旬だったという。
Sony は、「2023年6月2日に不正ダウンロードを発見し、直ちにプラットフォームをオフラインにし、脆弱性を修正した。その後に、外部のサイバー。セキュリティ専門家の協力を得て調査を開始した。また、法執行機関にも通報した」と、データ漏洩通知書で述べている。
Sony の説明は、今回のインシデントは、特定のソフトウェア・プラットフォームに限定されたものであり、他のシステムへの影響はなかったというものだ。
それでも、米国内において 6,791人分の機密情報が漏洩している。同社は流出した情報の詳細を個別に判断し、個々の手紙に記載したが、メイン州司法長官事務所に提出された通知サンプルが精査されている。
現時点において、通知を受領した人々には、Equifax のクレジット・モニタリングと身元回復サービスが提供されており、2024年2月29日までは固有のコードでアクセスが可能とされている。
Sony における最近の情報漏洩
2023年9月末のハッキング・フォーラムで、Sony のシステムに侵入して 3.14GB のデータを盗み出したという主張があったが、同社は調査中であると回答している。
少なくとも2名の攻撃者が、流出したデータ・セットを保持しているとされるが、そこに含まれるのは、SonarQube プラットフォームに関する詳細情報に加えて、証明書、Creators Cloud、インシデント対応ポリシー、ライセンス生成用デバイス・エミュレータなどとされる。
Sony の広報担当者は、限定的なセキュリティ侵害を確認するために、以下の声明をBleepingComputerと共有した:
Sony — 当社のセキュリティ・インシデントに関する、最近の主張を調査している。我々は、第三者のフォレンジック専門家と協力しており、Entertainment, Technology and Services (ET&S) 事業の内部テストで使用されている、日本に存在する1台のサーバ上での悪意の活動を確認した。
調査を進めている期間ににおいて、この問題のサーバはオフラインにされている。現在のところ、影響を受けたサーバ上に、顧客や取引先のデータが保存されていた形跡はなく、他のシステムにも影響は生じていない。したがって、業務への悪影響は発生していない — Sony
つまり Sony は、過去4ヶ月間に、2件のセキュリティ侵害を受けたことになる。
原文のタイトルと見たときには、2023/09/26 の「RansomedVC ランサムウェアの主張:Sony のシステムから盗んだデータを販売する」に関連するものと思いましたが、Clop による MOVEit 侵害が起こっていたようです。この問題は、なかなか収束しませんね。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.