狙われるファイル共有サービス　2023年最悪のハッキング招いた「MOVEit」

　ファイル転送ソフト「MOVEit」の脆弱性を悪用したサイバー攻撃が猛威を振るっている。多くの企業がデータを盗まれ、被害者数は数千万単位に膨らんでいる。10月に入って北米ソニーも攻撃を受けたことを認めた。信頼性が高いとされてきたことに加え、非ユーザーにも広がるという特徴から想像を超える被害が出ており、いまだ全体像も明らかでない状態だ。

5月以降、北米を中心に2300以上の企業・組織に影響

　MOVEitはProgress Softwareが提供するファイル転送プラットフォームだ。オンプレ版「MOVEit Transfer」とクラウド版「MOVEit Cloud」があり、政府、教育、財務機関などが求める基準を満たしているため、米国など英語圏を中心とした多くの公共機関、企業がファイルのやり取りに利用している。

　今年5月末、MOVEitを実装する数百もの拠点間でデータのやり取りが始まったことが確認された。しかし、MOVEitのユーザーでなく、「Cl0p」（Clopと表記されることもある）というサイバー犯罪グループによるものだった。MOVEitの脆弱性を利用してハッキングに成功したCl0pがデータを収集していたのだ。

　5月31日、Progress Softwareは脆弱性を報告してパッチを公開した。この脆弱性はSQLインジェクションの欠陥で、悪用されるとリモートからのコード実行が可能になる。共通脆弱性識別子はCVE-2023-34362と割り振られた。深刻度は10点中9.8。さらに6月に入って、同社は2つ目（CVE-2023-35036）、3つ目（CVE-2023-35708）の脆弱性情報を公開した。

　現在、最初の脆弱性の報告から4カ月以上が経過している。オーストラリアのセキュリティ企業Emsisoftは公開情報から、10月9日現在、2353組織、6434万人超の個人が被害に遭ったと推計している。その中には、1100万人に影響を与えた米政府の下請けMaximus、ルイジアナ免許センターなど公共機関の名前も入っている。

　集計では米国拠点の組織が84.1％、カナダが7.2％と北米を中心に被害が広がっているようだが、ブリティッシュ航空、Shellなど英国でも被害が報告されている。