Amazon

アマゾンは、2023年5月のMOVEit攻撃で盗まれたとされるデータがハッキングフォーラムに流出した後、従業員情報を含むデータ漏洩を確認した。

Nam3L3ssとして知られるこのデータ流出の背後にいる脅威行為者は、氏名、連絡先情報、建物の所在地、電子メールアドレスなどを含む、280万行を超えるアマゾンの従業員データを公開した。

アマゾンの広報担当者であるアダム・モンゴメリーは、Nam3L3ssの主張を確認し、このデータはサードパーティーのサービス・プロバイダーのシステムから盗まれたものだと付け加えた。

「アマゾンとAWSのシステムは安全であり、セキュリティイベントは発生していません。我々の不動産管理ベンダーの1社で、アマゾンを含む複数の顧客に影響を与えるセキュリティ・イベントが発生したとの連絡を受けた。

「アマゾンの情報は、従業員の仕事上の連絡先情報のみで、例えば、仕事上の電子メールアドレス、デスクの電話番号、建物の場所などでした。

同社によると、侵入されたベンダーがアクセスできたのは従業員の連絡先情報のみで、攻撃者は社会保障番号、政府身分証明書、財務情報といった従業員の機密情報にアクセスしたり盗んだりしたわけではないという。アマゾンは、このベンダーが攻撃に使用されたセキュリティの脆弱性にパッチを適用したと付け加えた。

Amazon employee data for sale
アマゾンの従業員データが売りに出される

Nam3L3ssは他にも25社のデータを流出させている。ただし、データの一部は、身代金ギャングのリークサイトや露出したAWSやAzureのバッカーなど、他の情報源から入手したという。

「私は、mysql、postgres、SQL Serverのデータベースとバックアップ、azureのデータベースとバックアップなど、公開されたウェブソースからデータベース全体をダウンロードし、csvまたは他の形式に変換します。

「現在、私は250TBをはるかに超えるアーカイブされたデータベースファイルなどを持っています。

MOVEit攻撃でデータが盗まれたり、インターネットに公開されたリソースから採取され、現在ハッキングフォーラムで流出している企業のリストには、Lenovo、HP、TIAA、Schwab、HSBC、Delta、McDonald’s、Metlifeなどが含まれている(下表の通り)。

追加情報が入り次第、この記事を更新する。

会社名 盗まれた日 従業員数
レノボ 2023-05 45,522
マクドナルド 2023-05 3,295
HP 2023-05 104,119
シティ・ナショナル銀行 2023-05 9,358
BT銀行 2023-05 15,347
dsm-ファルメニッヒ 2023-05 13,248
ラッシュ大学 2023-05 15,853
URBN 2023-05 17,553
ウェスティングハウス 2023-05 18,193
UBS 2023-05 20,462
TIAA 2023-05 23,857
オムニコムグループ 2023-05 37,320
ブリストル・マイヤーズ スクイブ 2023-05 37,497
3M 2023-05 48,630
シュワブ 2023-05 49,356
レイドス 2023-05 52,610
カナダポスト 2023-05 69,860
アマゾン 2023-05 2,861,111
デルタ 2023-05 57,317
アプライド マテリアル 2023-05 53,170
カーディナル・ヘルス 2023-05 407,437
米国銀行 2023-05 114,076
エフエムアールドットコム 2023-05 124,464
HSBC 2023-05 280,693
メットライフ生命 2023-05 585,130

MOVEitデータ盗難攻撃

Clopランサムウェア集団は、2023年5月27日に始まったデータ盗難攻撃の背後にいた。脅威の主体は、データはさまざまなソースから収集されたと述べているが、2023年5月30日という日付は、米国のメモリアルデーの長期休暇中に発生したMOVEitデータ盗難攻撃と一致している。

流出した25社のデータはそれぞれ類似しているため、これらの攻撃中に単一のベンダーから盗まれたデータが、影響を受けた顧客向けの個別のデータセットとして公開されたと考えられている。

このデータ盗難攻撃は、企業環境でビジネス・パートナーや顧客との間で安全にファイルを転送するために使用されるマネージド・ファイル転送(MFT)ソリューションであるMOVEit Transferセキュア・ファイル転送プラットフォームのゼロデイセキュリティ欠陥を利用したものでした。

サイバー犯罪集団は2023年6月に被害者への恐喝を開始し、グループのダークウェブ・リーク・サイトで被害者の名前を暴露した。

これらの攻撃による影響は世界中の数百の組織に及び、それ以降、数千万人がデータを盗まれ、恐喝に利用されたり、オンライン上に流出したりした。

複数の米国連邦政府機関と2つの米国エネルギー省(DOE)も、これらの攻撃の標的となり、侵入された