Serco が MOVEit Transfer の脆弱性によるデータ漏洩に苦しむ

Jun 17, 2023

米国政府請負業者が Cl0p ランサムウェア集団のハッカーの攻撃を受けるのは、この 1 週間で 2 件目です。

クローディア・グローバー著

Serco の米国部門は、人気のファイル転送プラットフォーム MOVEit Transfer の脆弱性を悪用した進行中のサイバー攻撃の一環として、10,000 人分のデータが盗まれたことを確認しました。 このアウトソーシング会社は、業界の大手企業数社を襲ったこの攻撃の最新の被害者となった。 この暴露は、米国政府請負業者マキシマスが、攻撃の一環として最大1,100万人の医療情報が盗まれた可能性があると述べた数日後に行われた。

ロシアのランサムウェア集団Cl0pと思われるハッカーがSercoから盗んだ情報には、名前、生年月日、自宅の住所、社会保障番号、個人および職業上の電子メールアドレス、一部の健康保険情報が含まれていると侵害開示通知で述べた。

Serco は英国を含む 35 か国で事業を展開し、50,000 人以上の従業員を雇用しています。 2022年の売上高は57億ドルと報告されている。

セルコは今週、メイン州司法長官事務所にこの侵害を明らかにし、「外部システム侵害（ハッキング）」によって1万人以上のデータが盗まれたことを認めた。

通知には、データがSercoのサプライヤーの1つである人事および会計サービスを提供するCBIZ経由で取得され、データ転送にMOVEit Transferのプラットフォームが使用されたと記載されている。

どうやらセルコは事件発生から1か月以上経った6月30日にこの事件を認識したようだ。 開示通知には次のように書かれています。「CBIZから、インシデントは2023年5月に始まり、CBIZは2023年6月5日にインシデントを緩和するための措置を講じたと理解しています。明確にするために、CBIZのシステムの侵害はSercoのシステムの安全性とセキュリティには影響しませんでした。」 」

Serco は、国土安全保障省、国務省、司法省、米国連邦機関、海軍、陸軍、空軍、海兵隊を含む米軍の各支部にサービスを提供しています。 米国における同社の法人顧客には、ファイザー、ウェルズ・ファーゴ、キャピタル・ワンも含まれる。

盗まれた情報がSercoのどの顧客のものなのかは不明だ。

Sercoは、メディカード、メディケイド、就労福祉などのプログラムを管理するMaxmimus社に次いで、この1週間でCl0pの被害に遭った2番目の米国政府供給業者となった。最大1,100万件の患者記録が盗まれた可能性があると認められた。

先週提出された SEC 報告書の中で、マキシマスは MOVEit Transfer の使用を通じて「かなりの数」の人々の個人情報を確認しました。 同組織はこのソフトウェアを「政府のさまざまなプログラムに参加する個人に関するデータを政府の顧客と共有する」ために使用していると申請書には記載されている。

同社によると、盗まれたデータには社会保障番号や保護された医療情報などの個人情報が含まれているという。 同社は影響を受けた人々への情報提供を開始しており、このインシデントの調査と修復には1,500万ドルの費用がかかると見込んでいる。

Tech MonitorはSercoとMaximusにコメントを求めたが、本稿執筆時点でどちらからも返答は得られていない。

Cl0p は今年初めに MOVEit Transfer の脆弱性を発見し、5 月に攻撃を開始したと考えられています。 セキュリティベンダーのEmsisoftは、この攻撃によりすでに500社以上の企業が被害を受け、4,000万人が影響を受けていると考えている。 CVE-2023-34362 として追跡されるこの脆弱性は、認証されていない攻撃者が MOVEit Transfer データベースへのアクセスを取得できる可能性がある SQL インジェクションの脆弱性です。

これまでのところ最も注目を集めている被害者には、シェル、ブリティッシュ・エアウェイズ、BBC、ディスカバリー・チャンネル、エスティ・ローダーなどが含まれる。 木曜日には、ダークウェブ被害者ブログに 38 人の被害者のグループが追加され、関係するすべての被害者からのサンプル データのスクリーンショットが公開されました。

オンラインサイバー犯罪追跡業者 DarkFeed によると、Cl0p は先月、世界で最も活発なランサムウェア ギャングであり、170 件の攻撃を行ったのに対し、次に最も活発なグループである LockBit の攻撃は 48 件でした。