Friday, July 07, 2023 6:55 AM

石油大手シェルもムーヴィットのハッキング被害に

 プログレス・ソフトウェア(Progress Software)のファイル転送ツール「ムーヴィット(MOVEit)」のセキュリティー欠陥がハッカーらに悪用され、世界中の多くの会社や大学、団体、政府機関が攻撃された件で、被害に遭ったことを公表する組織が相次いでいる。

 6月に発覚した同件については、これまでに200以上の組織が被害に遭い、1750万人以上の個人データに影響がおよんだとサイバー脅威分析を手がけるエムシソフト(Emsisoft)では推定している。

 テッククランチ誌によると、被害を受けた組織の数は増え続けると同時に、機密データ漏洩の被害を公表する組織も増えている。7月に入って石油大手のシェル(Shell)と米金融機関ファースト・マーチャンツ・バンク(First Merchants Bank)が、ハッカーらによるデータへの不正アクセスがあったことを認めた。

 シェルは、「従業員らに関する一部の個人情報」がハッカーらにアクセスされたと発表した。ムーヴィットは「少数のシェル従業員と顧客らに使われていた」とシェルは説明した。影響を受けた人数や、どのようなデータが盗まれたかは明らかにされていない。

 それら一連の攻撃については、ロシアのランサムウェア攻撃集団クロップ(Clop)が犯行声明を出している。クロップは、シェルが身代金支払いに応じなかったことを理由に、シェルから盗み出したデータを公開したと発表した。ただ、テッククランチによると、公開されたデータへのリンクは現時点では機能していない。

 クロップは、2020年にもシェルのデータを盗取した。旧社名をアクセリオン(Accellion)というカイトワークス(Kiteworks)のファイル転送サービスの利用者らを標的とした攻撃だった。

 一方、インディアナ州拠点のファースト・マーチャンツ・バンクは、顧客の住所や社会保障番号、オンライン・バンキングの利用者名、支払い先の情報と口座情報に不正アクセスされたことを認めた。オンライン・バンキングとモバイル・バンキングの認証語は漏洩しなかった。同社は、情報漏洩した顧客数を明らかにしていない。

 ムーヴィットの被害は、米国エネルギー省やシーメンス、シュナイダー・エレクトリック、非営利団体のナショナル・ステューデント・クリアリングハウス(National Student Clearinghouse)とそれに関係する大学を含め非常に広範におよんでいる。オレゴン州の約350万人の運転免許証保有者や、ルイジアナ州の住民約600万人の情報が被害データに含まれていたことも伝えられている。

https://techcrunch.com/2023/07/06/more-organizations-confirm-moveit-related-breaches-as-hackers-claim-to-publish-stolen-data/

https://techcrunch.com/2023/06/29/millions-affected-moveit-mass-hacks/