最近、MOVEitゼロデイ脆弱性により、アメリカの非営利教育団体の「National Student Clearinghouse(NSC)」のサービスを利用する890校へのデータ流出が話題になりました。攻撃者はMOVEitのマネージドファイル転送サーバーを乗っ取り、氏名、生年月日、連絡先、社会保障番号を含むあらゆる個人情報を手に入れました。さらには教育機関に登録した履歴があるかや学位情報のような一部の学校記録まで入手したことがわかりました。
NSCは22,000以上の高校と約3,600の大学にサービスを提供する団体であり、今回のデータ流出の被害範囲も5万人を超えるほど深刻でした。
MOVEitゼロデイの悪用によって漏洩されたサーバーを探す
MOVEitは、マネージドファイル転送(Managed File Transter、MFT)ソリューションを提供するソフトウェアで、政府や金融機関を含む多数の組織が大量の機密データを管理・共有するために利用するツールです。
MOVEitを提供するProgress Software社は、今年の5月にランサムウェアグループ「Clop」が悪用したMOVEitゼロデイ脆弱性「CVE-2023-34362」を発表しました。発表の当日に脆弱性パッチを公開しましたが、すでに多数の情報流出が起こり、アメリカ合衆国エネルギー省(Department of Energy、DOE)、PwC税理士法人、イギリスのブリティッシュ・エアウェイズ(British Airways)などが相次いでデータ流出の被害を伝えました。現在、MOVEitゼロデイによる被害を受けた機関は合計2,000を超えると推定されます。その中でもMOVEitを利用する下請け業者や協業するサプライヤーと関係してい機関の被害がほとんどであるため、被害構造が複雑で事件対応に苦労をしています。
次は、Criminal IPのIT資産検索でMOVEitに関連するサーバーを検索した結果です。
Search Query: “MOVEit”
合計7万件以上のMOVEit関連サーバーが検索され、特に「Data Leak」のタグがついたサーバーが多数発見されました。
Criminal IPの「Data Leak」タグは、バナーから認証情報を含むクレデンシャル漏洩が検知されたWEBサイトを表すタグで、データ流出に危険なMOVEitサーバーが多数検知されたことを示します。
タグフィルターを加えて “MOVEit” tag: Data Leak を検索すると、「Data Leak」タグがついたMOVEitサーバーだけをフィルタリングできます。
MOVEitに関連するサーバーの保有国の統計
Criminal IPの要素分析機能でMOVEitに関連するサーバーを使っている国の統計を確認してみました。
総合71ヶ国から漏洩されたMOVEit関連サーバーを利用していることと見られます。その中でカナダが8,715件で最も多く、アメリカが8,403件、シンガポールが8,035件で後を継ぎました。
MOVEitゼロデイ脆弱性の「CVE-2023-34362」に対する主な対応は以下のようです。詳しいガイドラインはProgress Softwareの記事で確認いただけます。
- MOVEit Transfer環境での全てのHTTP・HTTPSトラフィックを無効化
- 無断で生成されたファイルとユーザーアカウントを削除
- 勧告されるセキュリティパッチを適用した後、HTTP・HTTPSトラフィックを復元
- 多要素認証の活性化
関連しては「APT33」のパスワードスプレー攻撃に関する投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP (https://www.criminalip.io/ja)
ご参照:
コメントを残す