Maine govt notifies 1.3 million people of MOVEit data breach
2023/11/10 BleepingComputer — ファイル転送ツール MOVEit の脆弱性を悪用する脅威アクターが、メイン州システムを侵害し、同州の全人口に近い約 130万人の個人情報に不正アクセスしていたと、同州が発表した。MOVEit を悪用する攻撃は、5月27日からゼロデイ脆弱性を悪用し始めたランサムウェア・グループ Clop による、大規模なデータ窃盗キャンペーンの一環である。MOVEit を使用している世界中の数千の組織の中に、メイン州の様々な機関が含まれていたという。
メイン州の通知には、「2023年5月31日にメイン州は、 世界中の何千もの組織がデータの送受信に使用している、サードパーティ製ファイル転送ツールである Progress MOVEit に脆弱性が存在する確認した。このソフトウェアの脆弱性がサイバー犯罪者グループにより悪用され、2023年5月28日〜2023年5月29日にかけて、メイン州の特定の機関が所有するファイルへの不正アクセス、および データのダウンロードが可能になっていた」と記されている。
流出したのは、未成年者を含む 130万人分の情報であり、以下の項目が含まれる:
- 氏名
- 社会保障番号 (SSN:Social Security number)
- 生年月日
- 運転免許証
- 州の識別番号
- 納税者番号
- 健康保険情報
各個人の正確なデータの種類は、メイン州の州機関ごとに異なる。
MOVEit の情報漏えいの影響を最も受けたのは、メイン州保健福祉省であり、次いでメイン州教育省であった。さらに、影響の深刻さが低い組織として、行政/財務サービス/労働者災害補償/自動車局/矯正/経済・地域開発/専門・財務規制/労働部門などが続く。メイン州は、機密データの流出について国民に通知するのが遅れたのは、徹底的な調査のためだと説明している。
SSN または税務情報が流出した影響を受けた全ての市民には、2年間の無料信用監視および個人情報盗難防止サービスを選択するための指示が記載された通知が送られる。この通知が送られた者は、定期的に自分の金融口座を監視して、不審な動きや身に覚えのない請求がないかを確認し、できるだけ早く銀行や警察当局に報告するよう求められる。
さらにメイン州は、このセキュリティ・インシデントに関する人々の懸念に対応するための、専用のコールセンターを設置した。
このようなインシデント関連記事においては、”メイン州司法長官事務所に提出した報告書” というフレーズを、よく目にします。そうだとすると、文中の「MOVEit を使用している世界中の数千の組織の中に、メイン州の様々な機関が含まれていたという」と、なんとなく繋がりそうな気もしてきます。それにしても、MOVEit 関連の危害は甚大ですね。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.