Progress Softwareの支出が高騰 原因はMOVEitに関する法的責任:Cybersecurity Dive
ファイル転送サービス「MOVEit Transfer」の脆弱性が悪用されたことに関連して、Progress Softwareの支出が高騰している。同社は、訴訟や規制当局による監視、政府の調査に直面している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ファイル転送サービス「MOVEit Transfer」の顧客を狙ったゼロデイ攻撃から1年が経過し(注1)、同サービスを運営するProgress Softwareの法的責任が拡大している。
MOVEit Transferに対する攻撃の影響
Progress Softwareは2024年7月10日(現地時間、以下同)に米国証券取引委員会(SEC)に提出した書類の中で「当社は少なくとも144件の集団訴訟の当事者であり(注2)、それらはマサチューセッツ州連邦地方裁判所における保険企業からの代位請求と統合されている」と述べた。
2023年の戦没者追悼記念日の週末に顧客のMOVEit Transferの環境が攻撃されたことを原因として、Progress Softwareに発生する可能性のある影響や費用は、今後さらに拡大する可能性がある。
2023年末までに、ランサムウェアグループ「Clop」は2700以上の組織を危険にさらし、MOVEit Transferの環境で保持されていた9300万以上の個人記録を露出した。
2024年5月31日時点で、Progress Softwareに対して提起された集団訴訟の数は、同年2月29日に終了した前四半期末の127件から増加した(注3)。Progress Softwareは、2023年11月30日に終了した2023年度の末の時点で58件の集団訴訟を報告していた(注4)。
また、マサチューセッツ州に本社を置くProgress Softwareは、38の顧客から書簡を受け取っており、前四半期末の35件から増加している。それらの書簡の一部には、補償を求める意向が記載されているようだ。
Progress Softwareが法的判断や和解、罰金の可能性に備えているが、2023年における最も重大なサイバー攻撃となった同インシデントへの継続的な対応に関連する費用は増加し続けている。
MOVEit Transferの脆弱(ぜいじゃく)性に関連する費用は、Progress Softwareが第1四半期に想定していた100万ドルから、直近の四半期では300万ドルに増加している。これらの費用には、同社が6カ月間に認識した190万ドルの保険金は含まれていない。
政府および規制当局による調査
Progress Softwareは政府および規制当局による調査にも対応している。SECは2023年10月に正式な調査を通知した。また、ワシントン D.C.およびニュージャージー州の検事総長から受け取った召喚状に関連する調査も継続中である。
Progress Softwareのヨゲシュ・グプタ氏(社長兼CEO)は、2024年6月25日の決算説明会で次のように述べた。
「私たちは、透明性を持って規制当局に協力している。なぜならば、MOVEit Transferの環境に対する攻撃に対して、当社は顧客の利益を第一に考え、適切に行動したと確信しているためだ」
英国やオーストラリア、スペインのデータプライバシー規制当局による調査は、特に措置が取られずに終了した。
また、Progress Softwareは、2023年12月に連邦取引委員会(FTC)から保存通知を受け取ったが、情報提供の要求や正式な調査が進行中であることを示す連絡は受け取っていない。
Progress Softwareは「今後の四半期においても、MOVEit Transferの脆弱性に関連する調査費用や法的費用、専門サービスを利用する費用が発生する見込みだ」と述べた。
複数の訴訟や調査が進行中であるため、Progress SoftwareはSECに提出した書類の中で「発生し得る損失の範囲を現時点で合理的に見積もることはできない」と述べている。
(注1)Progress Software’s MOVEit meltdown: uncovering the fallout(Cybersecurity Dive)
(注2)PROGRESS SOFTWARE CORPORATION(SEC)
(注3)PROGRESS SOFTWARE CORPORATION(Investors.Progress.com)
(注4)Progress Software’s financial hit from MOVEit cuts deeper(Cybersecurity Dive)
関連記事
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き
JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
© Industry Dive. All rights reserved.
人気記事ランキング
- Excel操作をプロンプトで実行できる「Copilot」の実力
- なぜIT部門は市民開発を嫌うのか? 「“野良化”回避」より重視すべきこと
- マルウェアを呼び込むあるツールとは? 医療業界のセキュリティ実態が判明
- 米国政府がソフトウェア要件の変更を計画中 新興ベンダーに大きなチャンス
- Appleが広範囲にセキュリティ修正を実施 急ぎアップデート対応を
- NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
- 経営幹部が心配している「サードパーティーリスク5選」
- Zoom Workplace Appsに複数の脆弱性 Windows版を含む全てのバージョンに影響
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 大荒れのサイバー空間 激増するフィッシングに対抗する3つの防御策
ITmediaはアイティメディア株式会社の登録商標です。