MOVEit のデータ侵害により、おそらく聞いたこともないような企業の失態により、「少なくとも」6,400 万人の個人データが漏洩した。

この侵害はソニーからルイジアナ州運輸局に至るまでの顧客組織に影響を与えており、SEC は現在調査を行っています…

MOVEitデータ侵害

皮肉なことに、MOVEit は企業や政府機関が「PCI-DSS、HIPAA、GDPR、SOC2 などの厳格なサイバーセキュリティ コンプライアンス標準」に従ってファイルを転送できるようにするソフトウェアを提供し、「最も機密性の高いファイルに安全な環境を提供する」と主張しています。

しかし、8月のMalwarebytesレポートに記載されているように、同社のソフトウェアのゼロデイ脆弱性が大規模なランサムウェア集団に悪用された。

この侵害の全容はまだ明らかではないかもしれないが、Engadgetが引用したあるレポートによれば、2,500 を超えるさまざまな組織を通じて、少なくとも 6,400 万人の個人データが侵害されたとのことだ。

データ侵害の影響を受けた上場企業は、株価への影響や訴訟などの財務リスクを回避するため、その事実を公表することが法的に義務付けられています。証券取引委員会（SEC）は7月にこの報告義務を強化しました。この新しい規則では、企業は侵害をわずか4日以内に公表する必要があります。

プログレス・ソフトウェアは、58件の集団訴訟に直面していることを明らかにした。

SECが調査中

今日の報告によれば、SEC は現在ハッキング事件を調査中だという。

プログレス・ソフトウェアは、昨年5月から大規模な攻撃の対象となっていたファイル転送ソフトウェア「MOVEit」の脆弱性に関する情報を共有するようSECから召喚状を受け取ったことを明らかにした。

提出書類によると、調査は現在「事実調査」段階にあり、現時点でプログレス社が「連邦証券法に違反した」という兆候はない。同社はSECに協力する意向だ。

ランサムウェア集団による二重恐喝戦術

漏洩したデータの量が膨大になった理由の一つは、今年、ランサムウェア集団が二重の恐喝手法を使い始めたことだ。

以前は、犯罪組織は組織のデータを暗号化し、アクセスを遮断していました。そして、復号鍵と引き換えに身代金を要求していました。

しかし、堅牢なバックアップ体制を備えた組織であれば、システムをロールバックしてアクセスを回復することが可能です。ランサムウェア集団CL0Pは、組織が身代金を支払わない場合は、盗んだデータも公開すると反論しました。

havebin.com を Google ニュース フィードに追加します。