投資銀行のモルガン・スタンレーは、サードパーティベンダーのAccellion FTAサーバーに攻撃者が侵入して同社の顧客に関する個人情報を盗んだことにより、データ漏洩が発生したを報告しました。
モルガン・スタンレーは、投資銀行業務、証券業務、資産管理および投資管理サービスを世界中に提供する、世界有数の金融サービス企業です。
アメリカの多国籍企業である同社の顧客には、41カ国以上の企業、政府、機関、個人が含まれています。
暗号化されたファイルが復号鍵とともに盗まれる
モルガン・スタンレーにアカウント・メンテナンス・サービスを提供しているサードパーティ・ベンダーのGuidehouse社は、2021年5月攻撃者が同社のAccellion FTAサーバーをハッキングし、モルガン・スタンレーのストックプラン参加者に関する情報を盗み出したとモルガン・スタンレーに通知しました。
Guidehouse社のサーバーは、1月にAccellion FTAの脆弱性を悪用して侵入されましたが、ベンダーは修正プログラムが利用可能になってから5日以内にパッチを適用しました。
Guidehouseは、3月に侵入を発見し、5月にモルガン・スタンレーの顧客への影響を確認した上で、モルガン・スタンレーに通知しましたが、盗んだデータが脅威の行為者によってオンラインで拡散されたという事実は見つかりませんでした。
モルガン・スタンレーは顧客に送付したデータ流出通知書の中で
モルガン・スタンレーのアプリケーションに対するデータ・セキュリティ侵害はありませんでした。今回の事件は、モルガン・スタンレーの暗号化されたファイルを含むガイドハウスが所有していたファイルが影響を受けました
しかし、盗まれたファイルが暗号化されてGuidehouse Accellion FTAサーバーに保存されていましたが、攻撃者は攻撃の際に暗号を復号する復号鍵も入手していました。
モルガン・スタンレー社によると、今回の事件で盗まれた文書には、以下が含まれていました。
- ストックプラン参加者の名前
- 住所(最後に変更された住所
- 生年月日
- 社会保障番号
- 会社名
なお、Guidehouse社のFTAサーバーから盗まれたファイルには、モルガン・スタンレーの顧客の金融口座にアクセスするためのパスワードや認証情報は含まれていませんでした。
モルガン・スタンレーの広報担当者は、「顧客データの保護は最も重要であり、当社が非常に真剣に取り組んでいることです。我々はGuidehouseと緊密に連絡を取り、顧客への潜在的なリスクを軽減するための措置を取っています」と述べています
AccellionのハッキングしたClopグループとFIN11
モルガン・スタンレーのデータ侵害通知においては、攻撃者の身元は明らかにされていませんが、AccellionとMandiantが2月に発表した共同声明では、この攻撃をより詳細に解説しており、サイバー犯罪グループFIN11と直接結び付けています。
ランサムウェア「Clop」グループは、Accellion FTAのゼロデイ脆弱性(2020年12月に公開)を利用して、複数の企業からデータを盗み出したことがあります。
Accellion社は、20年前のレガシーFTAソフトウェアを使用していた顧客はおよそ300社で、今回の攻撃で侵入されたのはそのうちの100社未満だったと発表しています。
同様の脆弱性を利用して侵入されたのは、エネルギー大手のシェル、サイバーセキュリティ企業Qualys、ニュージーランド準備銀行、Singtel、スーパーマーケット大手のクローガー、ワシントン州監査役室、オーストラリア証券投資委員会、複数の大学やその他の組織が被害にあっています。
また、2月には、ファイブアイズのメンバーが、これらの攻撃や恐喝の試みについて、共同でセキュリティ勧告を発表しています。
Comments