なぜMOVEitからファンは離れなかったのか？ 見切りを付けられるベンダーの特徴：Cybersecurity Dive

2023年、Progressが提供するファイル転送サービス「MOVEit」にゼロデイ脆弱性が見つかり、これに関連した多くのサイバー攻撃が発生した。しかし同社の顧客維持率は安定したままだ。一体なぜだろうか。

[Matt Kapko，Cybersecurity Dive]

　Progress Software（以下、Progress）の幹部が2024年1月16日（現地時間、以下同）の決算説明会で語ったところによると、ファイル転送サービス「MOVEit Transfer」（以下、MOVEit）のゼロデイ脆弱（ぜいじゃく）性に対する攻撃が2023年の春に相次いだにもかかわらず（注1）、MOVEitの顧客維持率は2023年の下半期も安定していた。

　このファイル転送サービスは、Progress製品の中でも好調なものの一つであり、2023年11月30日で終了した会計年度の第4四半期の売上高が前年同期比13％増の1億7700万ドルに達したことの一因となっている（注2）。

　同社でCFO（最高財務責任者）を務めるアンソニー・フォルガー氏は「MOVEitは、2023年の上半期に好調であり、2023年下半期も一定の水準を維持した」と話した。同氏は、このファイル転送サービスが同社の年間売上高5億7400万ドルと前年同期比17％増に貢献したことを特に強調した。

なぜMOVEitからファンは離れなかったのか？

　集団訴訟や顧客からの法的請求、規制当局の調査など、後に発生する可能性のある重大な金銭的損害がない限り、Progressは、MOVEitの将来に自信を持っており、重大な負の結果につながる可能性を当面は回避したと考えている。

　調査企業であるGartnerのカテル・ティーレマン氏（バイスプレジデント・アナリスト）によると、サイバー攻撃の影響を受けた企業の多くは、このような素早い立ち直りがよくあるという。

　「これらの製品には固定客がいる。固定客にとって製品の変更は容易ではない。また、下流の被害者は上流に位置するベンダーの製品選定に対して影響力を持っていない。より長期的な影響は法廷で明らかになるだろう」（ティーレマン氏）

　MOVEitへのゼロデイ攻撃によって、少なくとも100人以上の顧客が直接影響を受けたが、ランサムウェアグループ「Clop」は、2700の組織から9300万人以上の個人情報を漏えいさせた。

　この攻撃によってProgressには、幾つかの財務的な負担があった。これには、第4四半期のサイバーインシデントおよび脆弱性に対応する費用である100万ドルも含まれる。同社はその前の四半期にも、保険金の受け取りの後に100万ドル近いサイバーインシデント費用を計上している（注3）。

　米国証券取引委員会（以下、SEC）に提出した8-K報告書（重要性があると判断されてから4日以内に提出が求められるサイバーセキュリティインシデント報告書）の中で、Progressは「MOVEitの脆弱性に関連した追加の弁護士費用や専門サービス費用が発生する見込みである」と記載した一方で「調査は終了しており、サイバーインシデントに関連する追加費用は発生しないと考えている」ともコメントした。

　この件に関するSECの正式な調査について、Progressは2023年10月2日に召喚状による通知を受けており（注4）、現在も進行中である。

　CEOのヨーゲッシュ・グプタ氏は、決算説明会で次のように述べた。

　「私の見解では、当社は顧客の環境を強化し、彼らが直面した事件に対処し、前進を支援するために全力を尽くしてきた」

　「私たちは顧客を維持できたことを誇りに思い、顧客も私たちを信頼してくれた。素晴らしくポジティブな結果だった。もちろん大きな課題があることは明らかで、法的な問題や規制上の問題はまだ解決していないが、顧客はMOVEitに対して前向きな評価をしてくれている」（グプタ氏）

MOVEitは依然として多くの産業にとって重要なツールである

　ProgressはMOVEitの顧客数を報告していないが、同社は10万以上の企業で使用されている数十のビジネスアプリケーションとサービスを提供している。

　広く悪用されたMOVEitのゼロデイ脆弱性は、2023年6月以降に開示された8つの共通脆弱性識別子（CVE）のうちの一つである（注5）。

　サイバーセキュリティ事業を営むRecorded Futureの脅威インテリジェンスアナリストであるアラン・リスカ氏は「これは巨大で影響力のある脆弱性だ。彼らの顧客や、その先にいる顧客の多くに影響を与えた。ただし、これはゼロデイ脆弱性だった。そのため、人々は必ずしも同社に怠慢があったとは評価しないだろう」と話した。

　これは、Citrixなどの他ベンダー製品で発生したインシデントとの重要な違いである。

　リスカ氏は「Citrixは今でも人気だが、顧客は減少している。その理由は脆弱性が悪用され続け、その都度パッチによる修正を繰り返しているためだ（注6）（注7）。攻撃者にとってCitrixは格好の標的だ。ネットワーク上のリスクとみなし、Citrixから離れる顧客もいる」と指摘した。

　リスカ氏によると、MOVEitに対する顧客の反応はまだその段階に達していないという。

　メディアを運営するZK Researchの主席アナリストであるゼウス・ケラバラ氏は「一般的に問題の隠蔽（いんぺい）のような極端なことをしない限り、ITベンダーの顧客が一斉に離れることはない。今回のケースにおいて、Progressは問題を発見した時点で顧客に通知して可能な限り迅速に修正した」と語った。

　ケラバラ氏は、顧客は寛容であるべきではなく、より頻繁にベンダーの責任を問うべきだと語る。

　「ベンダーを野放しにすることこそが顧客の怠慢だ。ベンダーの変更は大変な作業だが、違反行為を続けるベンダーと取引し続けると、将来より多くの仕事をこなさなければならなくなる」（ケラバラ氏）

　Progressは、この四半期に売上高の増加を報告したが、営業利益率は前年同期の19％から13％に落ち込み、純利益も35％減の1530万ドルだった。

（注1）Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）
（注2）Progress Software Corporation4（SEC）
（注3）Progress Software says business impact ‘minimal’ from MOVEit attack spree（Cybersecurity Dive）
（注4）Progress Software’s financial hit from MOVEit cuts deeper（Cybersecurity Dive）
（注5）Progress Software discloses 2 new CVEs in MOVEit（Cybersecurity Dive）
（注6）CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
（注7）V（Cybersecurity Dive）

原文へのリンク