どんどん広がる「ファイル転送サービス」の被害 機密性の高い情報を持つあらゆる業界がターゲットに

企業や政府機関が利用するファイル転送サービスを狙ったサプライチェーン攻撃が「大成功」を収めた。どの程度の被害が生じたのだろうか。

[Matt Kapko，Cybersecurity Dive]

　Progress Softwareのファイル転送サービス「MOVEit」の脆弱性（ぜいじゃく）性を狙ったサイバー攻撃が猛威を振るっている。

どれほどの被害が生じているのか

　MOVEitを狙った攻撃は（注1）、これまでに600以上の組織に広がっている。影響を受けた個人の数は次のように膨大な数に及んだ。

　4000万人以上の個人が影響を受けた理由は、機密性の高い情報を持ち、強い規制を受ける業界が狙われたからだ。医療や教育、金融、保険、政府、年金基金、製造業などが含まれる。

　ランサムウェアグループ「Clop」による攻撃の影響と潜在的な被害は広い範囲にわたり、下流の被害者数はまだ完全には把握できていない。さらに攻撃は終わっていない。

公的機関にも甚大な被害

　コロラド州立大学は6回にわたって、異なる6種類の攻撃を受けた（注2）。同校と取引のある第三者ベンダーのTIAAやNational Student Clearinghouse、Corebridge Financial、Genworth Financial、Sunlife、The Hartfordは、MOVEit攻撃に関連するデータ漏えいを同校に通知した。

　4大会計事務所のうちの3社、DeloitteとErnst & Young、PwCも攻撃を受け、管理する機密情報が危険にさらされた。

　政府の仕事を請け負うMaximusは、MOVEitの侵害に関連して最悪の被害を報告した（注3）。最大で1100万人分の個人情報が流出した恐れがあるというものだ。Maximusに対する侵害の一環として、高齢者向け医療保険制度メディケアから給付を受ける60万人以上の個人情報も流出した（注4）。

　独立系アナリストのマイケル・ダイヤモンド氏は、MOVEitとその顧客に対する広範な攻撃について次のように述べた。

　「この攻撃は独創的で、綿密に計画され、複数のグループが組織的に関与したものだ。実際に大量のデータが盗まれたということは、手はずも上手くいったのだろう。経済的な利益を得続けられ、今後も攻撃しやすいという観点から、魅力的な情報を選んで攻撃したことに疑う余地はない。攻撃と被害は、時間がたつごとに悪化の一途をたどると私は考えている」

　ダイヤモンド氏以外にも、最悪の事態が起こるのはこれからだと予測する人物がいる。

　サイバーセキュリティ事業を営むReliaquestのリック・ホーランド氏（バイスプレジデント兼CISO《最高情報セキュリティ責任者》）は次のように述べた。

　「攻撃の規模や知名度の高い被害者を見るに、間違いなく、MOVEitキャンペーンは、これまで私たちが見てきた中で最も成功した攻撃だ。最終的な被害の大きさは未知数だが、攻撃の影響を数カ月単位ではなく、数年単位で測ることになるだろう」

侵害が新たな侵害を生む

　経済的な動機を持つClopは、リークサイトに情報を小出しにしており、掲載された企業の数は増え続けている。

　アドバイザリーサービスを提供するForresterのジェス・バーン氏（シニアアナリスト）は次のように述べた。

　「この攻撃によって公開されてしまった情報は膨大な数に上り、現在も進行中だ。今後さらに侵害の報告が増えるだろう」

　バーン氏によると「最初に世界的な企業が影響を受けた。今後は、Clopの要求に対処するスキルやリソースを持たない小規模な組織が影響を受ける恐れが高まっている」。

　Clopによる被害が毎日報道されるようになった今でさえ、状況は悪化している。

　サイバーセキュリティ事業を営むKeeper Securityのゼイン・ボンド氏（製品責任者）は次のように述べた。

　「これまでに確認した内容から判断すると、今の状況は最悪だ。顧客情報や健康情報、個人情報などの最も機密性の高いデータを安全に転送するために組織が使用するシステムを標的にしているからだ」

サプライチェーンではゼロデイの影響が大きい

　トラブルの最初の兆候があったのは2023年6月のことだ。ClopがMOVEitのゼロデイ脆弱性を大規模に悪用したため、攻撃規模が急激に拡大した。

　「Clopは、ありふれた日和見主義の恐喝グループではない。高度な技術力を持ち、ゼロデイ脆弱性を活用する能力がある」（ホーランド氏）

　Clopは2023年に起きた2回の著名なサプライチェーン攻撃に関与しており、そのうちの一つは2023年3月に実行されたFortraのファイル転送サービス「GoAnywhere」のゼロデイ脆弱性を活用したものだ（注5、注6）。Clopは2020年と2021年にAccellion（現Kiteworks）のファイル転送デバイスに関するゼロデイ脆弱性を悪用したキャンペーンにも関与している（注7）。

　Clopは効果的な戦術を展開している。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と米国連邦捜査局（FBI）は、Clopが2019年2月に初めて出現して以降、1万1000以上の組織に影響を及ぼしたと推定した（注8）。

　Clop以外の攻撃者は、より大きな被害をもたらす大規模な攻撃を展開しているものの、「求める情報を手に入れられるケースはほとんどない」とボンド氏は述べた。

　Clopのキャンペーンによる経済的な影響は、すでに数十億ドルに達した。サイバーセキュリティ事業を営むEmsisoftによると、各州の検事総長と証券取引委員会に提出された情報開示の内容に加え、IBMが1件のデータ侵害におけるコストを165ドルと見積もったことから（注9）、MOVEitに関連する攻撃により発生したコストの合計は65億ドルを超えていると推計できる（注10）。

セキュアなソフトウェアが求められている

　「MOVEitのように広く使用されているソフトウェアを介した攻撃は、CISAのような政府機関がハイテク企業に対して、販売する製品の安全性を確保するように求める理由になっている」（バーン氏）

　セキュア・バイ・デザインやセキュア・バイ・デフォルトの原則は、2023年3月に発表されたバイデン政権の国家サイバーセキュリティ戦略の中核的な考え方だ（注11、注12）。テクノロジー部門に、より大きな責任を負わせようとする取り組みは一般に歓迎される。だが、サイバーセキュリティの専門家は「この計画は実効性に欠け、迅速に実現するものでも簡単に実現するものでもない」と述べた（注13）。

　サイバーセキュリティに関する保険商品を取り扱う企業も、補償リスクと潜在的に発生する債務を評価するために、顧客の技術スタックを綿密に調査している。

　「ハイテク企業をリスクにさらす重要な第三の構成要素は顧客だ」とバーン氏は言う。サイバーセキュリティにおけるリスクを把握し、コントロールするためには、サプライチェーンパートナーや主要なテクノロジーベンダーのセキュリティプラクティスを詳しく調査し、ソフトウェア部品表（SBOM）を通じて透明性を高めるように求める必要がある。

サプライチェーンにおけるリスクと責任の関係とは

　「リスクはサプライチェーンのあらゆる場所に潜んでいるが、企業は自社の技術スタックを把握し、侵害に迅速に対応することで、漏えいを抑えることができる」とサイバーセキュリティの専門家は述べている。

　サイバーセキュリティに関するプラットフォームを提供するArctic Wolf Labsのエイドリアン・コーン氏（脅威インテリジェンス担当シニア・マネジャー）は次のように述べた。

　「結局のところ、第三者に自社のデータを任せると常にリスクを伴うことになる」

　組織が提携するベンダーや第三者のサプライヤー、アウトソーシングのための取引先が存在すると、防御がより複雑になる。だからといって、安全なソフトウェアやサービスを提供するベンダーの責任のレベルが異なることは否定されない。

　「重要な情報を管理する企業は、セキュリティと監視について他の組織よりもはるかに高い基準を求められる」（ボンド氏）

　「組織がクラウドベースのサービスを採用するにつれ、サプライチェーン攻撃への耐性はさらに低くなるだろう。Clopの攻撃キャンペーンは、サプライチェーンに絶対的な脆弱性があることを示した。組織はインフラのセキュリティを確保するために十分に苦労をしている」（ホーランド氏）

出典：The MOVEit spree is as bad as ? or worse than ? you think it is（Cybersecurity Dive）

注1：MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims（Cybersecurity Dive）

注2：MOVEit Software Cyberattack Notification（CSU SYSTEM）

注3：MAXIMUS（UNITED STATES SECURITIES AND EXCHANGE COMMISSION）

注4：MoveIT breach exposes data of 612K Medicare beneficiaries, CMS says（Cybersecurity Dive）

注5：CVE-2023-0669 Detail（NIST）

注6：Clop ransomware group triggers new attack spree, hitting household brands（Cybersecurity Dive）

注7：Accellion breach victim lists grows as Kroger discloses compromise（Cybersecurity Dive）

注8：#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability（CISA）

注9：Cost of Data Breach Report 2023（IBM Security）

注10：Unpacking the MOVEit Breach: Statistics and Analysis（EMSISOFT）

注11：Explore the core tactics of secure by design and default（Cybersecurity Dive）

注12：NATIONAL CYBERSECURITY STRATEGY（THE WHITE HOUSE）

注13：How will the government enforce the national cyber strategy?（Cybersecurity Dive）