MOVEitのゼロデイ脆弱性の余波は続く 開発ベンダーが直面する苦難Cybersecurity Dive

Progress SoftwareはMOVEitの脆弱性について政府による複数の調査が進行中であることを明らかにした。また同社は、100件以上の集団訴訟の当事者でもある。

» 2024年02月18日 08時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 2023年5月に特定されたファイル転送サービス「MOVEit Transfer」(以下、MOVEit)のゼロデイ脆弱(ぜいじゃく)性が、開発元であるProgress Software(以下、Progress)に与えた経済的な影響は最小限だったが、訴訟や政府による調査は増加の一途をたどっている。

 Progressは、2024年1月24日(現地時間、以下同)に米国証券取引委員会(以下、SEC)に提出した年次報告書において(注1)「SECや連邦取引委員会(FTC)、国内外のデータプライバシー規制当局、複数の州の司法長官が、MOVEitのゼロデイ脆弱性と、その悪用について調査している」と語った。

MOVEitの脆弱性悪用がProgressに与えた影響は?

 また、Progressは、次のようにも述べている。

 「当社は、MOVEitの顧客環境からデータが流出し、影響を受けたと主張する個人によって起こされた約118件の集団訴訟の当事者でもある」

 MOVEitに見つかった脆弱性の悪用にによる広範囲の被害を受けて、Progressを待ち受ける潜在的な罰金と罰則の範囲は、同社の対応や事業の見通しに影響を与える可能性がある。

 MOVEitのゼロデイ脆弱性を悪用した攻撃は、少なくとも100の顧客に直接影響を与えた。攻撃の背後にいるランサムウェアグループ「Clop」は、それらのアクセス権を利用して、最終的に少なくとも2700の組織からデータを盗み出し(注2)、9300万件以上の個人情報を流出させた。

 MOVEitの脆弱性は数百万人の個人と数千の組織に影響を与えたが、このファイル転送サービスはProgressにとって主要な収益源ではない。MOVEitに関連する収益は、Progressの2023年度の収益の4%にも満たない。

 これまでのところ、MOVEitのゼロデイ脆弱性に起因する費用は保険でカバーされてきた。

 Progressは2023年度において、保険による回収額の370万ドルを除いて、MOVEitの脆弱性に関連する費用として150万ドルを負担した。同社が利用可能なサイバーセキュリティ保険の残額は880万ドルである。

 年間のサイバーインシデントおよび脆弱性対応費用の合計は約620万ドルで、Progressの2023年度の売上高6億9400万ドル(前年比15%増)の1%未満である。

調査が進行中

 MOVEitのゼロデイ脆弱性に直接起因する金銭的なコストは限定的だが(注3)、Progressは投資家に対し、法的請求や罰金、罰則から生じる将来の潜在的損失について警告した。

 FTCとSECは、下流の侵害と個人データの盗難につながった不十分なセキュリティ慣行について企業を告発し、命令を発している。SECは2020年12月に発覚したマルウェア「Sunburst」攻撃につながる不正行為と内部統制の不備を理由に、SolarWindsと同社のCISO(最高情報セキュリティ責任者)のティム・ブラウン氏を2023年10月に告発した(注4)。

 Progressは「現時点では、発生した損失または損失の範囲に関する見積もりを作成することは困難だ」と回答した。同社はMOVEitの脆弱性に関する損失および負債をいまだに計上していない。

 SECへの提出書類の中で同社は「本件による損失の金額や範囲、タイミングは重大なものになる可能性があるが、現時点では具体的には予測できない」としている。

 また、Progressは現在進行中の3つの正式な政府調査について以下のように説明した。

  • SECは2023年10月2日に、本件に関する正式調査の一環としてProgressに召喚状を発行した(注5)
  • Progressは年次報告書の中で「2023年12月21日に、当社はFTCからの保存通知を受け取ったが、まだ情報は要求されておらず、正式な調査に関する通知も受けていない」と話した。FTCの通知は、Progressに対し、調査に関連するあらゆるデータの保存を要求するものだった
  • コロンビア特別区の検察局は、MOVEitの脆弱性に関する調査を開始し、Progressは2024年1月18日に、その旨を召喚状で知らされた

 Progressは、MOVEitの脆弱性に関連する全ての費用の回収を求める保険会社からの代位請求や、一部が補償を求める意向を示した31人の顧客からの正式な通知をはじめとするさまざまな法的課題に直面している。

(注1)PROGRESS SOFTWARE CORPORATION(SEC)
(注2)Progress Software’s MOVEit meltdown: uncovering the fallout(Cybersecurity Dive)
(注3)Progress Software shakes off MOVEit’s financial consequences, maintains customers(Cybersecurity Dive)
(注4)SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
(注5)Progress Software’s financial hit from MOVEit cuts deeper(Cybersecurity Dive)

© Industry Dive. All rights reserved.

注目のテーマ