MOVEitのゼロデイ脆弱性の余波は続く 開発ベンダーが直面する苦難:Cybersecurity Dive
Progress SoftwareはMOVEitの脆弱性について政府による複数の調査が進行中であることを明らかにした。また同社は、100件以上の集団訴訟の当事者でもある。
2023年5月に特定されたファイル転送サービス「MOVEit Transfer」(以下、MOVEit)のゼロデイ脆弱(ぜいじゃく)性が、開発元であるProgress Software(以下、Progress)に与えた経済的な影響は最小限だったが、訴訟や政府による調査は増加の一途をたどっている。
Progressは、2024年1月24日(現地時間、以下同)に米国証券取引委員会(以下、SEC)に提出した年次報告書において(注1)「SECや連邦取引委員会(FTC)、国内外のデータプライバシー規制当局、複数の州の司法長官が、MOVEitのゼロデイ脆弱性と、その悪用について調査している」と語った。
MOVEitの脆弱性悪用がProgressに与えた影響は?
また、Progressは、次のようにも述べている。
「当社は、MOVEitの顧客環境からデータが流出し、影響を受けたと主張する個人によって起こされた約118件の集団訴訟の当事者でもある」
MOVEitに見つかった脆弱性の悪用にによる広範囲の被害を受けて、Progressを待ち受ける潜在的な罰金と罰則の範囲は、同社の対応や事業の見通しに影響を与える可能性がある。
MOVEitのゼロデイ脆弱性を悪用した攻撃は、少なくとも100の顧客に直接影響を与えた。攻撃の背後にいるランサムウェアグループ「Clop」は、それらのアクセス権を利用して、最終的に少なくとも2700の組織からデータを盗み出し(注2)、9300万件以上の個人情報を流出させた。
MOVEitの脆弱性は数百万人の個人と数千の組織に影響を与えたが、このファイル転送サービスはProgressにとって主要な収益源ではない。MOVEitに関連する収益は、Progressの2023年度の収益の4%にも満たない。
これまでのところ、MOVEitのゼロデイ脆弱性に起因する費用は保険でカバーされてきた。
Progressは2023年度において、保険による回収額の370万ドルを除いて、MOVEitの脆弱性に関連する費用として150万ドルを負担した。同社が利用可能なサイバーセキュリティ保険の残額は880万ドルである。
年間のサイバーインシデントおよび脆弱性対応費用の合計は約620万ドルで、Progressの2023年度の売上高6億9400万ドル(前年比15%増)の1%未満である。
調査が進行中
MOVEitのゼロデイ脆弱性に直接起因する金銭的なコストは限定的だが(注3)、Progressは投資家に対し、法的請求や罰金、罰則から生じる将来の潜在的損失について警告した。
FTCとSECは、下流の侵害と個人データの盗難につながった不十分なセキュリティ慣行について企業を告発し、命令を発している。SECは2020年12月に発覚したマルウェア「Sunburst」攻撃につながる不正行為と内部統制の不備を理由に、SolarWindsと同社のCISO(最高情報セキュリティ責任者)のティム・ブラウン氏を2023年10月に告発した(注4)。
Progressは「現時点では、発生した損失または損失の範囲に関する見積もりを作成することは困難だ」と回答した。同社はMOVEitの脆弱性に関する損失および負債をいまだに計上していない。
SECへの提出書類の中で同社は「本件による損失の金額や範囲、タイミングは重大なものになる可能性があるが、現時点では具体的には予測できない」としている。
また、Progressは現在進行中の3つの正式な政府調査について以下のように説明した。
- SECは2023年10月2日に、本件に関する正式調査の一環としてProgressに召喚状を発行した(注5)
- Progressは年次報告書の中で「2023年12月21日に、当社はFTCからの保存通知を受け取ったが、まだ情報は要求されておらず、正式な調査に関する通知も受けていない」と話した。FTCの通知は、Progressに対し、調査に関連するあらゆるデータの保存を要求するものだった
- コロンビア特別区の検察局は、MOVEitの脆弱性に関する調査を開始し、Progressは2024年1月18日に、その旨を召喚状で知らされた
Progressは、MOVEitの脆弱性に関連する全ての費用の回収を求める保険会社からの代位請求や、一部が補償を求める意向を示した31人の顧客からの正式な通知をはじめとするさまざまな法的課題に直面している。
(注1)PROGRESS SOFTWARE CORPORATION(SEC)
(注2)Progress Software’s MOVEit meltdown: uncovering the fallout(Cybersecurity Dive)
(注3)Progress Software shakes off MOVEit’s financial consequences, maintains customers(Cybersecurity Dive)
(注4)SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
(注5)Progress Software’s financial hit from MOVEit cuts deeper(Cybersecurity Dive)
関連記事
- なぜMOVEitからファンは離れなかったのか? 見切りを付けられるベンダーの特徴
2023年、Progressが提供するファイル転送サービス「MOVEit」にゼロデイ脆弱性が見つかり、これに関連した多くのサイバー攻撃が発生した。しかし同社の顧客維持率は安定したままだ。一体なぜだろうか。 - ファイル転送サービスはなぜサイバー攻撃の標的になるのか?
2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。 - OTシステムへの攻撃はすぐそこまで来ている マルウェア解析から分かった攻撃者の狙い
サプライチェーン攻撃の激化に伴い、ITシステムだけでなくOTシステムを狙ったサイバー攻撃が本格化する恐れがある。OTを狙ったマルウェアの実態と攻撃者の目的をリサーチャーが語った。 - Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中
日本プルーフポイントはAzure環境のクラウドアカウント乗っ取りキャンペーンを新たに確認した。このキャンペーンはさまざまな組織が標的になっている。
© Industry Dive. All rights reserved.