ファイル転送サービス「MOVEit」に新たな脆弱性が見つかる

今回は「ファイル転送サービス「MOVEit」に新たな脆弱性が見つかる」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 多くの企業や政府機関が利用する人気が高いファイル転送プラットフォーム「MOVEit」が、またしても非常に好ましくない理由でニュースになっている。

 MOVEitの開発元であるProgress Softwareは米国時間6月25日、ソフトウェアに重大な脆弱性を発見したと発表した。最新のソフトウェアアップデートでパッチを適用しないと、ハッカーからこの脆弱性が悪用されてデータを盗まれる恐れがあるという。同社は当初、この脆弱性を「high(重要)」と評価していたが、その後に「critical(緊急)」に段階を上げた。パッチをダウンロードして脆弱性を修正していないMOVEitユーザーは、脆弱性を突くハッカーによって、最終的にデータにアクセスされる被害に遭う可能性がある。

 前にも聞いた話のように思えるとしたら、それは、MOVEitユーザーが2023年にも深刻な脆弱性により被害に遭っているからだ。この時はハッカーによって多くの企業や政府機関がデータを盗まれる事態となった。これらの攻撃の主要な担い手だったのはランサムウェアグループの「Cl0p」で、実際にBritish Airwaysや米エネルギー省などのデータを盗まれる事態が起きた。最終的に、このセキュリティホールを突いて、複数のハッキンググループが世界各国の大勢の人々に関するデータ窃盗をはたらく事態につながった。

 そうした攻撃があったにもかかわらず、MOVEitは依然として企業や組織の間でよく利用されているプラットフォームだ。MOVEitは、「SFTP」や「SCP」など、さまざまな転送プロトコルでファイルやデータを転送することができ、ユーザーにとっては便利に使えるサービスだ。また、ファイルやデータの転送の際に「HIPPA」(医療保険の携行性と責任に関する法律)のようなデータプライバシー規制も完全に順守し、医療分野などの規制が厳しい業界でも使い勝手が良い。

 MOVEitの最新の脆弱性が今後、2023年のハッキングのような広範な被害を出す事態につながるかどうかはまだわからない。Progress Softwareは今回、問題を発見したことをすぐに発表し、ユーザーがパッチを適用すれば、あらゆるエクスプロイトから身を守れるとしている。

 ハッカーたちも注目し始めている。Progress Softwareが今回の脆弱性を発表したのち、MOVEitに対するハッキング活動に既に増加が見られると、インターネットセキュリティの向上を目指す組織のThe Shadowserver Foundationは報告している。

 「本日(米国時間6月25日)、脆弱性の詳細が発表された直後に、『MOVEit Transfer』の『CVE-2024-5806』に関して『POST /guestaccess.aspx』に対する攻撃の試みが確認され始めている」とThe Shadowserver Foundationは述べ、今回知られることになった脆弱性に対するハッキングの企てに言及した。「MOVEitを利用していてまだパッチを適用していない場合は、今すぐ適用してほしい」と、同財団は呼びかけている。

 一般の消費者にとっては、自身に関するデータを保有している企業がMOVEitを指示通りにアップデートすることを願う以外、できる対策はあまりない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「ChromeOS」の深刻な脆弱性、マイクロソフトが発見の経緯を発表
IT関連
2022-08-25 11:47
インテル、第3四半期は予想を上回る利益–通期の業績見通しは下方修正
IT関連
2022-10-29 00:18
ヤフオク!が「値下げ交渉」機能を終了 7月1日に
企業・業界動向
2021-04-02 12:41
デルのグローバルCTOが語る「ハードウェアベンダーの生成AI対応」とは
IT関連
2023-10-28 14:38
日本株急落3つの理由–景気敏感バリュー株「買い場」の判断を再強調
IT関連
2021-05-17 18:27
ウクライナ発の顔交換アプリ「Reface」が反戦キャンペーンに対するロシアユーザーの反発を受け同国から撤退
IT関連
2022-03-19 11:31
契約審査プラットフォーム「LegalForce」、自動レビュー画面に「実務対応アラート」機能
IT関連
2023-08-22 20:17
YJキャピタルとLINE Venturesが合併、Z Venture Capitalとして300億円の新ファンド組成
VC / エンジェル
2021-04-02 11:05
コンテンツ管理×生成AIで日本のユースケースを拡大–Box Japan・古市社長
IT関連
2024-01-10 16:43
Apple、Mac上でクロスコンパイルによるLinuxバイナリの生成を可能に。「Swift Static Linux SDK」発表
Apple
2024-06-13 05:11
入社式、対面そろり復活も……研修はオンラインが一般的に
IT関連
2021-03-31 09:55
積水化学と日立製作所、材料開発でのMI推進に向けた共同研究
IT関連
2022-09-23 02:29
「ロボットらしい演技が大事」 サイバーエージェント流、遠隔接客ロボの効果的な使い方
ロボット・AI
2021-08-11 18:44
AIスキルの重要性高まる–なければエンジニア給与は減少傾向も
IT関連
2024-04-16 06:49