MOVEit侵害で何百万ものオレゴン州とルイジアナ州のIDが盗まれる

ルイジアナ州とオレゴン州は、ランサムウェア集団が MOVEit Transfer セキュリティ ファイル転送システムをハッキングして保存されているデータを盗んだ後、何百万もの運転免許証がデータ侵害で流出したと警告している。

これらの攻撃は、Clop ランサムウェア オペレーションによって実行されました。このオペレーションは、CVE-2023-34362 として追跡される、これまで知られていなかったゼロデイ脆弱性を使用して、5 月 27 日にMOVEit Transfer サーバーに対する世界規模のハッキングを開始しました。

これらの攻撃により、世界中でデータ侵害が広範囲に暴露され、企業、連邦政府機関、地方州機関に影響が及んでいます。

ルイジアナ州自動車局とオレゴン州運転・自動車サービス局のプレスリリースによると、両局は MOVEit Transfer ソフトウェアを使用しており、これらのソフトウェアはこれらの攻撃で侵害されました。

数百万枚の運転免許証が盗まれる

ルイジアナ州陸運局（OMV）は昨日、州発行の運転免許証、身分証明書、または車の登録証を持つすべてのルイジアナ州民のデータが脅威アクターにさらされている可能性が高いと考えていると発表した。

「ルイジアナ州陸運局（OMV）は、前例のないMOVEitデータ侵害の影響を受ける政府機関、主要企業、組織の数はまだ決まっていないものの1つです」とルイジアナ州自動車局（OMV）の警告では説明されている。

OMV は、影響を受けた人々は次の個人情報を漏洩した可能性があると述べています。

• 名前
• 住所
• 社会保障番号
• 生年月日
• 身長
• 目の色
• 運転免許証番号
• 車両登録情報
• 障害者プラカード情報

しかし、同庁は、クロップ氏がそのデータを使用、販売、共有、または公開した形跡はないため、ランサムウェア攻撃者が盗まれた政府データを削除すると発表で約束したように、盗まれたデータは削除された可能性があると述べている。

クロップ一味は今月初めに電子メールで「軍、小児病院、政府などをこのように攻撃することは許されず、彼らのデータは消去されたことをすぐに伝えたい」と電子メールで述べた。

それにもかかわらず、ルイジアナ州に住む何百万人もの人々は、依然として自分たちのデータが危険にさらされていると考える必要があります。身元を保護し、パスワードをリセットし、銀行口座の信用を凍結し、不審な行為を当局とカード発行会社に報告するための適切な措置を講じることをお勧めします。

オレゴン州 DMV も同様の声明を発表し、MOVEit Transfer データ侵害が ID または運転免許証を持つ約 3,500,000 人のオレゴン州人に影響を与えたと説明するプレスリリースを発表しました。

「2015 年以来、ODOT は MOVEit Transfer を使用しています。MOVEit Transfer は、Progress Software Corp によって作成およびサポートされている人気のファイル共有ツールで、組織がビジネス パートナーと顧客の間でファイルやデータを安全に転送できるようにします。」とオレゴン DMV のプレス リリースには書かれています。

「6 月 12 日月曜日、ODOT は、アクセスされたデータに約 350 万人のオレゴン州民の個人情報が含まれていることを確認しました。この情報の多くは広く入手可能ですが、その一部は機密性の高い個人情報です。」

オレゴン州当局は、特定の被害者を特定する立場にないと述べているため、すべての国民は予防策を講じ、個人データがサイバー犯罪者にさらされたと想定するよう勧告されています。

クロップ氏は水曜日、ランサムウェア活動のデータ漏洩サイトに侵害された企業をリストアップすることでMOVEit攻撃の被害者から恐喝を開始したが、盗まれたデータはまだ漏洩していない。

さらに、ルイジアナ州とオレゴン州の DMV は両方とも政府のカテゴリーに該当するため、クロップ恐喝者が約束を守り、盗まれたデータを削除するかどうかを判断するのは時期尚早です。

このデータが恐喝の試みに使用されなかったとしても、データが他の脅威アクターに販売される可能性があります。

したがって、影響を受けるオレゴン州とルイジアナ州のすべての人々は、自分のデータを危険にさらされているものとして扱い、個人情報の盗難がないか信用報告書を監視し、標的型フィッシング攻撃の可能性に対して引き続き警戒する必要があります。

MOVEit Transfer 侵害を既に明らかにしている他の組織には、 米国連邦政府機関、 Zellis (BBC、Boots、Aer Lingus、Zellis を通じたアイルランドの HSE )、ロチェスター大学、 ノバスコシア州政府、 米国ミズーリ州、 米国州が含まれます。 イリノイ州、 BORN Ontario 、 Ofcam 、 Extreme Networks 、および米国内科学会。