プロフェッショナルサービスプロバイダーのAonへの最近の攻撃により、約2,000人の従業員の給与と福利厚生の詳細が明らかに「漏洩」されたため、ダブリン空港にとって気まずい月曜日となった。
Aonは、Progress Softwareの大人気ファイル転送スイートMOVEitに存在する脆弱性(CVE-2023-34362)を悪用し、世界を席巻している大規模なサプライチェーン攻撃の最新の被害者となったようです。この脆弱性は既に修正されています。Progressは5月31日にこの脆弱性を初めて公表し、翌日には修正プログラムをリリースしました。その後、同社はさらに2つの重大な脆弱性を修正しました。MOVEitファイル転送スイートをご利用の方は、こちらのKB記事で最新情報をご確認ください。
アイルランドに本社を置くこのグループの従業員給与データが漏洩したかどうかは不明ですが、ダブリン空港などを運営するDAAグループに詳細を問い合わせました。DAAは今朝、The Regに対し、「サードパーティのプロフェッショナルサービスプロバイダーであるAonへの最近のサイバー攻撃の結果、一部の従業員の給与と福利厚生に関するデータが侵害された」と確認しました。
DAAから公に非難されているにもかかわらず、Aonは攻撃について公式声明を出していないようで、The Registerのコメント要請にもすぐには応じていない。Aonは、顧客と従業員向けの自社ドメインのSFTPサイトに、MOVEitツールへのリンクを掲載しているようだ。
DAAは自社のシステムが危険にさらされていないことを強調し、アイルランドデータ保護委員会に通知し、「この犯罪的なサイバー攻撃の影響を受けた従業員に支援、助言、援助を提供している」と述べた。
エーオンのウェブサイトによると、同社は顧客向けにパーソナライズされた総報酬明細書を作成し、従業員の能力開発、有給休暇、その他給与には反映されない項目について、雇用主が従業員に支払った報酬の内訳をまとめている。エーオンによると、その目的は「総報酬の価値をパーソナライズされた方法で伝えること」だという。
ダブリン空港は、パンデミック後の旅行ラッシュに間に合うように人員補充を怠ったとして非難を浴びている。これは世界の多くの空港でも同様の状況だ。
管理会社自体も今年初めに求人フェアを開催し、「ドローンキャッチャー」という職種を募集していたが、どうやら「緊急に必要とされている」ようだ。
- ちょっと待ってください – MOVEitファイル転送ソフトウェアに新たな脆弱性が発見されました
- 元FBI職員、機密資料を持ち帰った罪で投獄
- 時代遅れのソフトウェアを使用していたこの米国政府機関に何が起こったと思いますか?
- PoCエクスプロイトが公開された翌日に修正された3番目のMOVEitバグ
同社のウェブサイトによれば、同社は約3,000人の従業員を抱え、アイルランドのダブリン空港とコーク空港の管理のほか、サウジアラビアのターミナルも管理し、国際空港内で小売事業も展開している。
SolarWindsのようなサプライチェーン攻撃に関する警告:「規模は拡大している」
続きを読む
サプライチェーン攻撃は、2020年のSolar Winds事件とそれに続くKaseya危機以来、脅威が増大しており、MOVEitと通信ソフトウェアメーカー3CXのソフトウェアのセキュリティホールを介した攻撃が最近では最も顕著になっています。
さらに悪いことに、MOVEitはClopにとってファイル転送ソフトウェア業界での初めての試みではありません。2020年末と2021年には、Accellionのファイル転送アプライアンスのゼロデイ脆弱性を悪用し、石油大手のシェルをはじめとするサプライチェーン全体を標的とした広範な攻撃を実行しました。
マンディアントは今年初めにThe Regの取材に対し、この問題は悪化する一方であり、業界はソフトウェアの依存関係のセキュリティ確保に向けて取り組む必要があると述べた。
英国の国家サイバーセキュリティセンターも最近、企業に対し、請負業者や第三者のセキュリティについてより慎重に考えるよう警告し、「サプライチェーンにおける最大の問題は、第三者が機密データを保持するシステムを適切に保護していないことだ」と指摘した。®
