ブリティッシュ・エアウェイズ、BBCがMOVEit供給で打撃

ブリティッシュ・エアウェイズ、BBC、英国の薬局チェーンのブーツは、MOVEit 文書転送アプリの展開における重大な脆弱性を悪用者が悪用した後、データが侵害された企業の 1 つです。

Microsoft は、ロシアの Clop ランサムウェア チームが情報を盗んだと考えています。

ブリティッシュ・エアウェイズ、BBC、ブーツは直接的な被害を受けなかった。 その代わりに、給与計算サービスプロバイダーのZellisは月曜日、同社のMOVEitインストールが悪用され、その結果、前述の英国人トリオを含む「少数の顧客」が情報を盗まれたことを認めた。

Zellis は英国最大の給与計算および人事プロバイダーであると主張しており、顧客には Sky、Harrods、Jaguar、Land Rover、Dyson、Credit Swiss が含まれます。 Zellis は Web サイトに掲載した声明で、MOVEit の脆弱性がセキュリティ侵害の原因だとし、「Zellis が所有するすべてのソフトウェアは影響を受けておらず、関連するインシデントや当社の IT 資産の他の部分への侵害は発生していない」と述べた。

同社は、影響を受けた顧客の数や顧客、アクセスされたデータなど、The Registerの具体的な質問には回答しなかった。 業界のスピナーは代わりに、ウェブサイトに掲載された声明を繰り返した。

このセキュリティホールは先週の木曜日に明らかになった。 そしてほぼ即座に、セキュリティ研究者らは、犯罪者が少なくとも 1 か月間、MOVEit の SQL インジェクションの脆弱性を「大量悪用」して IT 環境に侵入し、データを盗んでいると警告し始めました。

その後、このバグには CVE が割り当てられ、現在 CVE-2023-34362 として追跡されています。 アプリの開発者Progressは金曜日にこの欠陥を修正した。 広報担当者はザ・レジスターの具体的な質問には答えることを拒否したが、電子メールで次の声明を提供した。

Progress はお客様のセキュリティを非常に重視しています。 MOVEit Transfer および MOVEit Cloud の顧客に関する情報を開示することはできません。 ただし、お客様の環境を保護するために直ちに措置を講じたことは確認できます。まず、直ちに緩和するための手順を提供し、続いて脆弱性の特定から 48 時間以内にすべての MOVEit Transfer 顧客にパッチをリリースしました。

Microsoftは日曜日、窃盗事件はクロップ恐喝サイトを運営するLace Tempestとして追跡しているランサムウェア集団によるものであると断定した。 レドモンド氏は一連のツイートの最初で、「この攻撃者は過去にも同様の脆弱性を利用してデータを盗み、被害者を脅迫したことがある」と述べた。

約3万5000人の従業員を抱えるブリティッシュ・エアウェイズは、同社が新たな大規模なサプライチェーン攻撃とみられる攻撃の被害者の1人であることを認めた。

ブリティッシュ・エアウェイズの広報担当者は、「当社は、MOVEitと呼ばれるサードパーティサプライヤーの1つを通じて発生したゼリス社のサイバーセキュリティインシデントの影響を受けた企業の1社であると知らされた」とレジスターに語った。 「私たちは個人情報が漏洩した同僚にサポートとアドバイスを提供するよう通知しました。」

ブリティッシュ・エアウェイズとゼリス社はいずれも英国情報コミッショナー局（ICO）に侵入を報告し、ゼリス社はアイルランドのプライバシー監視機関と英国のサイバー警察に通報したと述べた。

Zellis の別の顧客である BBC は、従業員の個人情報の盗難について報じ、Zellis 給与計算ユーザーのブーツ氏とエア リンガス氏もハッキングの影響を受けた者の一人であると報じた。

BBCによると、盗まれたデータには職員のID番号、生年月日、自宅の住所、国民保険番号などが含まれていたという。 後者の情報は、個人情報窃盗者にとって特に貴重です。

ブーツ氏はレジスターの問い合わせにすぐには応じなかった。 英国の同社は2006年に米小売薬局大手ウォルグリーンと合併し、ウォルグリーン・ブーツ・アライアンスを結成したが、今回の事件でウォルグリーンの従業員情報が盗まれたかどうかは不明だ。 ®

ニュースを送ってください