米Progress Software社のファイル転送ソフトMOVEitのゼロティ脆弱性を悪用したデータ盗難による企業等への恐喝が世界規模で発生しているということです。犯行はClopランサムウェアの犯行グループ(TA505、FIN11、LaceTempest)だということですが、データは暗号化されずに盗まれ、被害企業は数百社とも報道されています。
データ盗難、被害企業は世界の数百社?!
この問題はデータ転送ソフトMOVEitの脆弱性を悪用して企業等のデータが盗まれていたもので、BleepigComputerとRapid7が最初に明らかにし、データの盗難は5月27日から行われていたということです。当初指摘されたMOVEitの脆弱性はCVE-2023-34362でしたが、その後、新たにCVE-2023-35036、CVE-2023-35708が追加され、短期間に3つの脆弱性へのパッチの適用を求める発表がProgress Software社より行われています。
このデータ盗難に関し6月6日、Clopランサムウェアの犯行グループがBleepingComputerやロイター記者に対して犯行を認め、被害者から連絡がない場合、6月14日から被害者の名前を公表すると表明、6月14日にClopはダークウェブのサイトに13社のリストをアップしたということです。またClopは6月21日からはデータも公開すると主張していたようですが、今のところデータが公開されたとの発表や報道はされていないようです。
アメリカのCISAとFBIはこの問題について6月7日にサイバーセキュリティに関する勧告を発表しています。一方、CNNの報道によると米政府機関でも被害が出ているということです。トレンドマイクロのレポートによると、アメリカの地方自治体や連邦組織がClopに侵入された事例の報告があり、また、アメリカのエネルギー省を含むいくつかの連邦省庁は、ファイル転送ソフトMOVEitのゼロデイ脆弱性に起因するサイバー侵害の被害者になっているということです。メディアは、エネルギー大手のシェルやジョージア大学など被害を受けたとみられる企業や団体を報じていますが、犯行グループは数百社のデータを盗んだと主張しているようですので、今後、どこまで問題が広がるか不透明な状況です。
Fortraのファイル転送管理ソリューション脆弱性も悪用
Clopについては、今年3月に攻撃が急増し、その背景にFortra社が提供しているファイル転送管理ソリューションのGoAnywhere MFTの脆弱性CVE-2023-0669を悪用した攻撃があることを記事にしましたが、Progress Software社のファイル転送ソフトMOVEitの脆弱性に対しても2021年から悪用する方法を模索していたとBleepingComputerがサイバーセキュリティ専門家の見解として伝えています。Clopランサムウェアの犯行グループはロシアを拠点にしているとみられており、マイクロソフトがLaceTempestと呼んでいるグループでTA505、FIN11とも呼ばれているグループだということです。
Clopランサムウェアの犯行グループによる今回のMOVEitの脆弱性を悪用した恐喝では、今のところ被害者に日本企業の名前はないようです。しかし、報道によれば被害企業は数百社にものぼるということですので、今後、日本企業の名前が公開される可能性があることは否定できません。ファイル転送ソフトMOVEitを使用している企業はProgress Software社のアドバイザリに従ってパッチの適用などを行うとともに、データ漏えいの有無についてチェックをする必要があります。
■出典
https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability/
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://twitter.com/razhael/status/1665800027074179082?s=46&t=u19CbogN0TP7iqFc4MlyEQ
https://www.cnn.co.jp/usa/35205305.html
https://www.trendmicro.com/ja_jp/research/23/f/insight-on-vulnerabilities-in-moveit-transfer.html