狙われるファイル共有サービス　2023年最悪のハッキング招いた「MOVEit」

被害の全貌はいまだに見えず

　MOVEitの被害報告は後を絶たない。最新の例がSony Interactive Entertainment（SIE）だ。BleepingComputerによると、SIEは元従業員を含む約6800人の社員、家族に対し、MOVEitの脆弱性を悪用した攻撃で個人情報が流出したことを伝えたという。攻撃にはMOVEit TransferのCVE-2023-34362脆弱性が使われた。

　Cl0pは攻撃（被害者）リストを段階的に公表しており、6月後半分にSony Groupの名前があった。SIEがProgressから報告を受けたのは、データ侵害通知によると5月31日。しかし、すでに攻撃は5月28日に行われており、発見したのは6月2日だったという。SIEは「許可されていないダウンロードに気づき、すぐにプラットフォームをオフラインにして、脆弱性を緩和した」と報告している。

　なお、BleepingComputerは、ソニーは別のインシデントによって9月にも3.14GBのデータを盗まれていると報じている。

　このほか、カナダ・オンタリオ州の出生登録機関BORN Ontarioも9月25日、被害を公表した。200万人の新生児を含む340万人分の健康に関するデータが盗まれたという。

　このように、被害を公開する動きが現在でも続いており、実際に被害規模を特定するのはいまだ難しい状況のようだ。脅威インテリジェンスCensysのセキュリティリサーチマネージャー兼上級研究者のEmily Austin氏は「すべてが明らかになったわけではない。企業は調査しているところで、影響を受けた顧客に通知を開始したところだ」とWiredに対して語っている。

　というのも、ファイル共有という性質上、MOVEitのユーザー以外にも被害が広がるからだ。実際、データを盗まれた企業・組織の多くは、MOVEitを直接使っていなかったという。サプライチェーンを通じて被害が拡大するタイプの攻撃だ。