ファイル転送サービスにご用心、サイバー攻撃の被害が広がる

ファイル転送サービス「MOVEit」を利用していた複数の企業から個人情報が漏えいした。

[David Jones，Cybersecurity Dive]

　Progress Softwareのファイル転送サービス「MOVEit」を利用していた企業が次々とサイバー攻撃にさらされ、個人情報が流出している。

どのような攻撃を受けたのか

　攻撃の原因がMOVEitにあることは間違いない。どのような企業が被害を受けたのだろうか。

　攻撃の原因はMOVEitに隠れていたゼロデイ脆弱（ぜいじゃく）性だ。脆弱性が公表されてから数週間たった後も、この脆弱性に関連した攻撃が続き、被害者が増え、何百万件ものデータが侵害された。

　サイバーセキュリティの専門家ブレット・カロウ氏はCybersecurity Diveに対し「100以上の組織がMOVEitに関連する攻撃の影響を受けた」と述べた。

数百万人の個人情報が漏えい

　保険事業を営むGenworth Financialは、2023年6月22日に米国証券取引委員会（SEC）に提出した書類で、次のような被害状況を公開した（注1）。MOVEitのファイル転送の脆弱性に関連する攻撃の結果、250万から270万の生命保険契約者の個人情報が盗まれたという。

　同書類によると、Genworth Financialと協力している第三者ベンダーのPBI Research Services（以下、PBI）がMOVEitを使用していた。このベンダーからデータ侵害についての通知を受けたことで漏えいしたことが分かった。漏えいしたデータには日本のマイナンバーと似た米国の社会保障番号が含まれていた。

　Genworth Financialは生命保険ビジネスにおいて、保険契約者の死亡を特定する目的でPBIと契約しており、規制上の義務に対する違反はなかった。Genworth Financialによると、PBIに対する攻撃はGenworth Financialの内部システムに影響を与えておらず、事業にも支障を来していないという。

攻撃グループが標的企業の名前を公開

　MOVEitを攻撃したと声明を発表したランサムウェアグループのClopは、攻撃の標的となった企業の名前を公開した。その中には、コンサルティング事業を営むPwC ConsultingやErnst & Young（以下、EY）も含まれている。

　PwC Consultingの広報担当者によると、同社は一部のクライアントの案件でMOVEitを限定的に使用していたようだ。この事件を知った時点で、同社はMOVEitの使用を中止した。

　同社の広報担当者は次のように述べた。「調査の結果、当社のITネットワークは侵害されておらず、MOVEitの脆弱性が当社に与えた影響は限定的だ」

　同社は影響を受けたファイルを持つごく一部のクライアントに連絡し、この事案について協議する予定だ。

　EYの関係者によると、同社は、ゼロデイ脆弱性が2023年5月末に公表された直後から即座に調査を開始したという。同社のシステムの大部分は危険にさらされていなかったが、攻撃の範囲については今も調査を続けている。

　同社のローレン・ヘア氏（広報担当）は、次のように述べた。「データをアクセスされた可能性のあるシステムについて、手作業で徹底的に調査している」

　ヘア氏によると、EYの最優先事項は影響を受けた人々や関係当局への連絡である。

PBIを介して他の企業も攻撃された

　一方、カリフォルニア州職員退職年金基金（CalPERS）は、PBIの侵害に関連して、会員の個人データがダウンロードされたことを確認した（注2）。PBIはCalPERSに対して、会員の死亡を確認するための情報を提供していた。

　影響を受けた情報には、氏名や社会保障番号、生年月日、勤務先、家族の名前が含まれていた。

出典：Big names disclose MOVEit-related breaches, including PwC, EY and Genworth Financial（Cybersecurity Dive）

注1：GENWORTH FINANCIAL, INC.（UNITED STATES SECURITIES AND EXCHANGE COMMISSION）

注2：PBI Data Breach - Frequently Asked Questions（CalPERS）