MOVEit関連のサイバー攻撃 発覚から数カ月も被害者が増え続けるワケ：Cybersecurity Dive

MOVEitのゼロデイ脆弱性から始まったサイバー攻撃キャンペーンは発覚から数カ月が経過した今も被害者を増やし続けている。

[Matt Kapko，Cybersecurity Dive]

　ファイル転送サービス「MOVEit Transfer」のゼロデイ脆弱（ぜいじゃく）性を利用したサイバー攻撃の影響範囲が広がり続けている（注1）。セキュリティ事業を営むEmsisoftとKonBriefing Researchによると（注2）（注3）、1000以上の組織が影響を受けているという。

なぜMOVEit関連のサイバー被害はまだまだ止まらないのか？

　2023年8月21日（現地時間）の週、大規模なサイバー攻撃の影響を受けた組織数は約40％増加し、潜在的な被害範囲を特定するために組織が直面している課題が浮き彫りになった。

　ランサムウェアグループClopによるこの攻撃が発覚した2023年5月27日の週末以降（注4）、公開情報やサイバー攻撃者が運営するリークサイトを通じて特定される被害者が後を絶たない。被害の発覚はさらに下流の被害者の発覚にもつながっている。

　MOVEit Transferを利用したサイバー攻撃キャンペーンの被害者を追跡するのは困難だ。KonBriefing Researchによると、被害者のほぼ3分の2は、サードパーティーのベンダーがMOVEitを使用したため（注5）、またはベンダーのさらに下流のベンダーがMOVEitを使用したために被害を受けている。

　下流の被害者の多くは会計事務所やコンサルティング企業、福利厚生および年金に関するサービスを営む保険数理士が原因で被害を受けた。

　米国のシアトルに本社を置き、保険数理士によるコンサルティング事業を営むMillimanは、2023年8月に複数の情報漏えいについて「サイバー攻撃の直接的な影響を受けたMOVEitの顧客であるPension Benefit InformationとMillimanの顧客データを共有していたために起こったものだ」と説明した（注6）。

　MOVEit Transferの顧客に対するClopの一連の攻撃で（注7）、通常であれば影響を受けないはずの被害者が巻き込まれたのは、個人情報や機密データが広い範囲で共有されたためだ。

　KonBriefingのトラッカーによると、これまでに確認された被害者のうち、5社に1社が米国に拠点を置き、その中には173の大学が含まれている。

（注1）MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims（Cybersecurity Dive）
（注2）Unpacking the MOVEit Breach: Statistics and Analysi（Emsisoft）
（注3）MOVEit hack victim list Progress Software MOVEit vulnerability cyber incident（KonBriefing）
（注4）MOVEit zero-day vulnerability under active exploit, data already stolen（Cybersecurity Dive）
（注5）MOVEit hack victim list Progress Software MOVEit vulnerability cyber incident（KonBriefing.com）
（注6）Data Breach Notifications（Maine Attorney General）
（注7）The MOVEit spree is as bad as ― or worse than ― you think it is（Cybersecurity Dive）

原文へのリンク