概要
- ClopランサムウェアグループによるMOVEitの侵害は、2023年の最大のハッキングの1つであり、2,659の組織と6,700万人に影響を与えています。
- この侵害は、MOVEitアプリケーションのゼロデイ脆弱性を悪用し、攻撃者にソフトウェアを使用している組織によって保存された機密データへのアクセスを可能にしました。
- 教育セクターはこの侵害の影響を大きく受け、ジョンズ・ホプキンス大学やウェブスター大学などの大学が標的にされました。影響を受けたその他のセクターには、医療、金融、ビジネスが含まれます。
6,200万人のMOVEit侵害の被害者の1人ですか?MOVEitの侵害は2023年の最大のハッキングの1つであり、Clopランサムウェアグループは数千の組織を身代金に要求し、数千万ドルを奪いました。
では、MOVEitランサムウェア攻撃とは何であり、どのようにしてこれほど多くの人々に影響を与えたのでしょうか。
MOVEitとは何ですか?
MOVEitは、Progress Softwareによって開発された安全なファイル転送ソフトウェアおよびサービスであり、組織と個人間で機密データを安全に転送できるように設計されています。MOVEitは、企業、政府機関、大学、および基本的にデータを保存して管理するすべてのエンティティによって使用されており、企業はファイルを安全に転送して、不正アクセスや侵害から保護することができます。
しかし、2023年5月、Clopランサムウェアグループが、データにMOVEItを使用していた何千もの組織のデータをハッキングしたため、これは起こらなくなりました。
MOVEitの侵害はどのように起こったのですか?
2023年5月、悪名高いClopランサムウェアグループはMOVEItアプリケーションのゼロデイ脆弱性を悪用しました。
ゼロデイ脆弱性とは、ベンダーや一般に知られていないソフトウェアのセキュリティ上の欠陥であり、修正プログラムやパッチが利用可能になる前に攻撃者が悪用します。ゼロデイ脆弱性は、ベンダーに知られることなく非常に長い間密かに悪用される可能性があるため、特に危険です。3つの脆弱性が発見されましたが、悪用されたと考えられているのは1つだけです。
Clopランサムウェアグループは、MOVEitアプリケーションで複数のSQLインジェクションの脆弱性を発見し、組織のデータベースにアクセスしてデータをダウンロードして表示することができました。SQLインジェクションとは、悪意のあるSQLコードが入力フィールドに挿入され、データベースがバックアップされたアプリケーションの脆弱性が悪用される脆弱性です。不正なコードはデータベースを操作して、機密情報を公開または変更する可能性があります。
SQLインジェクションの脆弱性は、CVE-2023-34362、CVE-2023-35036、およびCVE-2023-35708として登録されており、それぞれ2023年5月31日、2023年6月9日、および2023年6月15日にパッチが適用されました。MOVEit転送アプリケーションのすべてのバージョンは、これらの脆弱性に対して脆弱でした。悪用されると、認証されていない攻撃者が組織のMOVEIt転送データベースのコンテンツにアクセスできるようになります。これは、攻撃者がデータベースをダウンロード、変更、または削除することさえ、制限なしに行うことができることを意味します。
Progress Softwareはこれらの脆弱性にパッチを適用しましたが、すでに手遅れでした。ゼロデイ攻撃が一般とベンダーに知られていなかった期間に、攻撃者はMOVEitを使用してデータを管理および転送している何千もの組織のデータにアクセスして侵害しました。
MOVEit侵害の影響
EmisoftのMOVEitデータ侵害に関する分析と統計によると、2023年11月9日の時点で、2,659の組織がMOVEit侵害の影響を受け、6,700万人以上が主に米国に拠点を置く組織に影響を受けました。カナダ、ドイツ、英国。
教育は最も影響を受けたセクターであり、多くの大学のデータがこれらの攻撃者によって盗まれました。この侵害の影響を受けた教育機関には、ニューヨーク市の公立学校システム、ジョンズ・ホプキンス大学、アラスカ大学、ウェブスター大学などの人気大学が含まれます。この侵害の影響を大きく受けた他のセクターには、医療セクター、銀行、金融機関、企業が含まれます。
MOVEitランサムウェアの影響を受けた有名な組織には、BBC、シェル、シーメンスエナジー、アーンスト・アンド・ヤング、ブリティッシュ・エアウェイズなどがあります。
2023年9月25日、出生前、新生児、および児童登録サービスの大手であるBORN Ontarioは、MOVEit侵害に関する声明を発表し、MOVEit侵害の影響を受けたことを明らかにしました。彼らの報告によると、MOVEitの脆弱性により、不正な悪意のある第三者が、安全なファイル転送ソフトウェアを使用して転送されたBORN Ontarioの記録に含まれる個人健康情報のファイルにアクセスしてコピーすることができました。
これを受けて、Born Ontarioはすぐにシステムを隔離し、影響を受けたサーバーを廃止し、サイバーセキュリティの専門家と協力して、重大度と盗まれた具体的なデータを調査しました。
これらの組織の多くは、MOVEitアプリケーションを使用していたからではなく、MOVEit転送アプリケーションを使用していたサードパーティのベンダーを利用していたためにハッキングされ、結果的に侵害されました。他の組織でも同様の状況が発生しており、ランサムウェアの支払いおよびその他のセキュリティ修正に数十億ドルの費用がかかっています。
MOVEitの侵害の影響を受けました。次に何がありますか?
まだMOVEitを使用している場合は、すぐに最新バージョンにパッチを適用して、ファイルやデータがこれらのハッカーによって盗まれないようにしてください。インターネットとそれを利用するソフトウェアは残念ながらハックやランサムウェアを受けやすく、パスワードを定期的に変更し、ウイルス対策ソフトウェアを使用し、多要素認証を有効にすることで、自分自身とその資産を安全に保つ必要があります。
それでも、MOVEitの侵害が示すように、それらすべてを行うことができても、ハッカーのチームはこれまで見たことのないエクスプロイトを見つけるでしょう。
コメントする