BBC、ブリティッシュ・エアウェイズ、ノバスコシア州政府が被害者であることが確認されている
セキュリティ研究者は、 攻撃の最初の被害者が名乗り出る中、人気のファイル転送ツールを標的とした新たな大規模ハッキングの波を、悪名高い Clop ランサムウェア ギャングと関連付けました。
先週、ハッカーが MOVEit Transfer で新たに発見された脆弱性を悪用していることが明らかになりました。MOVEit Transfer は、インターネット上で大きなファイルを共有するために企業で広く使用されているファイル転送ツールです。 この脆弱性により、ハッカーは影響を受ける MOVEit サーバーのデータベースに不正にアクセスすることができます。 MOVEit ソフトウェアを開発する Progress Software は、 すでにいくつかのパッチがリリースされています。
週末にかけて、攻撃の最初の犠牲者が名乗り出始めた。
英国に本拠を置く人事ソフトウェアメーカー兼給与計算プロバイダーであるZellisは、同社のMOVEitシステムが侵害され、この事件により「少数」の法人顧客が影響を受けたことをTechCrunchに認めた。
そうした顧客の1社は英国の大手航空会社ブリティッシュ・エアウェイズで、同社はTechCrunchに対し、侵害には英国を拠点とする全従業員の給与データが含まれていたと語った。
ブリティッシュ・エアウェイズの広報担当ジェイソン・ターンニッジ・ベッツ氏はTechCrunchに対し、「当社は、MOVEitと呼ばれるサードパーティサプライヤーの1つを通じて発生したゼリス社のサイバーセキュリティインシデントの影響を受けた企業の1社であると知らされた」と語った。 「Zellis は英国の何百もの企業に給与サポート サービスを提供しており、当社もそのうちの 1 社です。 私たちは個人情報が漏洩した同僚にサポートとアドバイスを提供するよう通知しました。」
ブリティッシュ・エアウェイズは影響を受ける従業員の数を明らかにしていないが、現在世界中で約3万5000人の従業員がいる。
英国のBBCも、ゼリスに影響を与えた事件の影響を受けていることを認めた。 BBCの広報担当者は名前の公表を拒否したが、TechCrunchに対し次のように語った。 私たちはデータセキュリティを非常に重視しており、確立された報告手順に従っています。」
MOVEit を使用して部門間でファイルを共有しているノバスコシア州政府は、次のように述べています。 声明の中で 一部の国民の個人情報が漏洩した可能性があるとのこと。 ノバスコシア州政府は、影響を受けたシステムをオフラインにし、「正確にどのような情報が盗まれ、何人が影響を受けたか」の特定に取り組んでいると述べた。
当初、この新たなハッキングの波の背後に誰がいるのかは不明でしたが、マイクロソフトのセキュリティ研究者らは、このサイバー攻撃は同社が「Lace Tempest」として追跡しているグループによるものであると考えています。 このギャングは、ロシアに関連する Clop ランサムウェア グループの関連組織であることが知られており、以前は Fortra の GoAnywhere ファイル転送ツールと Accellion のファイル転送アプリケーションの欠陥を悪用した大量攻撃に関与しているとされていました。
Microsoft の研究者らは、MOVEit の脆弱性が悪用された後にデータが流出することがよくあると述べています。
Mandiant はまだ Microsoft と同じ帰属を表明していませんが、ある記事で言及されています。 ブログ投稿 UNC4857と呼ばれる新たに作成された脅威クラスター(現時点では「動機は不明」)と、Clopランサムウェアを運用することで知られる確立されたランサムウェアグループFIN11との間に「注目すべき」類似点があることが先週末に発表された。 「新たな活動を継続的に分析することで、さらなる洞察が得られる可能性がある」とマンディアント氏は述べた。
Mandiant社の最高技術責任者であるCharles Carmakal氏は先週TechCrunchに対し、同社が「複数の被害者からデータが流出した証拠を確認した」と認めた。
今後数日間でさらに多くの MOVEit 侵害の被害者が明らかになる可能性があります。
公開されているデバイスとデータベースの検索エンジンである Shodan は、2,500 を超える MOVEit Transfer サーバーがインターネット上で検出可能であることを示しました。