SEC ends probe into MOVEit attacks impacting 95 million people
2024/08/07 BleepingComputer — 米証券取引委員会 (SEC:Securities and Exchange Commission) は、MOVEit Transfer のゼロデイ欠陥が広範囲に悪用され、9,500万人以上のデータが流出した件の、Progress Software の対応に関する調査を終了した。Progress Software は、8月6日に SEC に提出した FORM 8-K の中で、このインシデントに関して SEC の執行部門は、いかなる強制措置も求めていないと述べている。
FORM 8-K の Description には、「SEC は Progress に対して、現時点では強制措置を勧告する予定はないことを通知した。すでに開示されているように、2023年10月2日に Progress は 、MOVEit の脆弱性に関する様々な文書や情報を求める事実調査の一環として、SEC からの召喚状を受け取った」と記されている。
SEC は、MOVEit Transfer のゼロデイ脆弱性により発生した広範なデータ窃盗攻撃に対する、Progress Software の対応を調査している。
BleepingComputer が 2023年6月に報じたように、同年のメモリアル・デーの連休中に、ランサムウェア集団 Clop が MOVEit のゼロデイ脆弱性を悪用し、世界中の企業に対して大規模なデータ窃盗キャンペーンを展開した。
一連の攻撃の影響を追跡している Emsisoft によると、2,770以上の企業と 9,500万人以上の人々が、ゼロデイ欠陥によりデータを盗まれたという。
Clop の攻撃の影響は、政府機関/金融会社/医療機関/航空会社/教育機関などの広範囲に及び、その身代金の総額は $75〜100M になると予測された。
Progress Software は SEC から、いかなる措置も勧告されていないが、マサチューセッツ州の連邦裁判所に集中する、数百件の集団訴訟に直面している。
MOVEit 攻撃に関する、SEC 調査による調査が完了したとのことです。それにしても、たいへんな金額の身代金ですが、何度も繰り返される攻撃により積み上げられたわけです。なお、このブログ内の検索で、この攻撃に被害を見るなら、MOVEit + Clop で検索が適切かと思います。
IoT OT Security News 
You must be logged in to post a comment.