2023年6月8日

ファイル転送ソフト「MOVEit」に対するゼロデイ攻撃について

MOVEitは、保存中および転送中のデータを暗号化し、機密性の高いビジネスデータに対するITセキュリティコントロールを提供します。官民問わず、また個人ユーザーにも使用されています。

このファイル転送ツールに、CVE-2023-34362と名付けられたゼロデイ脆弱性が発見されました。この脅威の重大性はまだ調査中です。そのため、この記事の執筆時点では、CVSSスコアは付与されていません。(その後、CVSSスコア 9.8が付与されました)

この脆弱性が最初に発見されたとき、 ランサムウェアの恐喝サイト「Clop」 を運営している脅威グループによって、すでに悪用されていました。本ブログでは、現在判明していることを説明します。

その内容とは?

CVE-2023-34362 は、MOVEit Transfer Web アプリケーションにおける SQL インジェクションの脆弱性で、悪意を持ったユーザーが認証を必要とせずに MOVEit Transfer のデータベースにアクセスすることができます。

MOVEit は、従業員の PII などの機密データを転送するためによく使用されます。この脆弱性を悪用することで、攻撃者はこの個人情報を入手してダークウェブで販売したり、侵害された組織を恐喝するためにデータを使用するなど、さまざまな目的で使用することができます。

犯人は?

この攻撃の背後にいる組織は、Lace Tempestとしても知られる悪名高い脅威グループFIN11のメンバーであると考えられています。この脅威グループがこの種の攻撃を行うのは今回が初めてではありません。つい先月、FIN11はファイル転送ソフトウェアGoAnywareの脆弱性を利用して、数百万件のデータを盗み出しました。2021年7月には、以前はAccellionとして知られていたファイル転送ソフトの脆弱性を悪用した攻撃も行っています。

FIN11 は、(おそらく)ロシアのランサムウェアグループであるClopと強い結びつきがあると考えられています。FIN11は過去にClopのリークサイトで盗んだデータを公開しており、最近の攻撃で入手したデータが恐喝に値すると判断すれば、高い可能性で再び同じことを行うものと考えられます。

被害者について

今回の情報漏えいは、多数の組織に影響を与えたと考えられています。現在までに公表されているのは数社にしか過ぎません。被害者として公表されているのは、英国を拠点とする給与計算および人事ソリューションのプロバイダーであるZellis社で、同社は複数の顧客を抱えており、この事実が被害者の影響を拡大させています。Zellisの顧客には、BBCとブリティッシュ・エアウェイズがおり、両社とも情報漏洩の被害者として名乗り出ています。英国の大手航空会社は、今回の攻撃で従業員のデータの一部が盗まれたことを確認しましたが、3万5000人の従業員のうち何人が影響を受けたかは明らかにしませんでした。

今回の情報漏えいが確認されたのはごく最近のことで、公表の意思の有無にかかわらず、近いうちにさらに多くの被害者が出てくる可能性があります。

何をすべきか?

現在、3000台以上のサーバーで脆弱性が確認されています。 IOCs をスキャンし、脆弱性のあるバージョンに直ちにパッチを適用することをお勧めします:

2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), and 2023.0.1 (15.0.1).

Deep Instinctでは、一連の攻撃を注視しており、新たな詳細が明らかになり次第、この記事を更新する予定です。

202367日に発行されたCISAアドバイザリーは こちらからご覧ください。