MOVEit Vulnerability Hits Delta Dental: 7 Million Records Exposed
2023/12/18 InfoSecurity — Delta Dental of California と関連会社が公表したのは、Progress Software のファイル転送ソフトウェア MOVEit の脆弱性 CVE-2023-34362 に関連するセキュリティ・インシデントに遭遇した後に、データ侵害が発生していることである。12月14日にメイン州司法長官に提出された情報漏えいの届け出には、保護されている医療情報に対して、無許可の脅威アクターがアクセスしたと記されている。
漏洩したデータに含まれるのは、個人の名前と住所/社会保障番号/運転免許証番号/州識別番号/パスポート詳細情報/金融口座情報/納税者番号/個人健康保険証番号/健康関連情報などである。
2023年6月1日に Delta Dental は情報漏洩を発見し、調査を開始し、是正措置を講じたと報告している。2023年7月6日の報告は、不正アクセスが 5月27日〜5月30日 に発生し、約700万人に影響があったというものだ。そのための調査は、2023年11月27日に終了し、結果が警察当局に通知された。
Symmetry Systems の Chief Evangelist of Data Security である Claude Mandy は、アクセスされたデータと影響を受けた個人の、検出/対応/特定が遅れたことに、驚くべきではないと指摘している。
Mandyは「フォレンジック・ツールとサイバーセキュリティの深い専門知識を組み合わせて、ログや個々のデータ・オブジェクトをフォレンジック的に調べ、個々のデータ・オブジェクトに何が起こったかをまとめる必要がある。最新のデータ・セキュリティ・ツールは、特に規模が大きくなればなるほど、影響を受けたデータの特定をスピードアップできると期待している」と説明している。
Delta Dental は、影響を受けた個人に対して通知を行い、サポート・サービスを提供したと述べている。被害を受けた個人に推奨されるのは、自身の財務諸表の監視と、疑わしい行動の報告である。そのためのホットラインは、800-693-2571 である。
Keeper Security の Governance, Risk and Compliance Analyst である Teresa Rothaar は、「今回の Delta Dental の情報漏えいの影響を受けた個人が、被害を抑制するために取ることのできる、先進的な手段がある。そこに含まれるのは、漏洩したアカウントのログイン情報の変更/ダークウェブ監視サービスを利用した認証情報のチェック/信用情報の監視と凍結/サイバー衛生の徹底などである」と、コメントしている。
MOVEit の脆弱性は、民間から行政にいたるまで、世界中の何千もの組織に影響を与えている。
Viakoo の CEO である Bud Broomhead は、「最初に発表されたときから、MOVEit の脆弱性については、長期的な影響が生じると予測されていた。とは言え、歯科保険会社が、パスポート番号などの詳細な個人情報を保持する必要があるというのは不可解だ。それぞれの組織は、個人記録の中で本当に保持する必要があるデータについて再考し、最小限に抑えるべきである。保持する必要があるデータは、その移動の全段階で暗号化し、サイバー侵害による流出を判断するのに役立つ、デジタル透かしを入れるべきである」とコメントしている。
Delta Dental で検索してみたら、Dental Insurance Plans だと分かりました。それであれば、700万人規模の被害者数と、Clop の標的にされたことに納得できます。侵害の発生から公表まで、約半年が掛かっていますが、このような事例は他にもあるのでしょうか?よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.