2024年11月、アマゾンは2023年に発生したファイル共有・転送サービス「MOVEit」の脆弱性を悪用したサイバー攻撃によるデータ侵害を正式に認めました。この攻撃により、アマゾン従業員の職場連絡先情報が盗まれ、ダークウェブ上に公開されていたことが確認されています。
サイバー攻撃の概要
攻撃の詳細
- 脆弱性: MOVEit Transferのゼロデイ脆弱性。
- 攻撃手法: SQLインジェクション。
- 影響範囲: 名前、連絡先情報、建物の所在地、電子メールアドレスを含む280万行以上の従業員データが漏洩。
ハッカーの主張
脅威アクター「Nam3L3ss」がダークウェブのハッキングフォーラムでアマゾンを含む複数企業からデータを窃取したと主張。影響を受けた企業にはLenovo、HP、Delta、マクドナルドなども含まれています。
アマゾンの声明
アマゾンは、以下の内容をBleepingComputerの取材で公表しました:
- データ漏洩の原因
- サードパーティのサービスプロバイダーのシステムからデータが盗まれた。
- 漏洩した情報
- 職場のメールアドレス、電話番号、建物の所在地などの従業員の職場連絡先情報。
- 未漏洩の情報: 社会保障番号、政府発行の身分証明書、財務情報などの機密情報へのアクセスは確認されていない。
アマゾンの広報担当者アダム・モンゴメリー氏は、「このデータ侵害は従業員の職場連絡先情報に限定され、直接的な財務リスクや個人のプライバシー侵害の可能性は低い」とコメントしました。
MOVEit脆弱性を狙ったサイバー攻撃の背景
2023年、MOVEit Transferプラットフォームのゼロデイ脆弱性を利用したサイバー攻撃が発生。この脆弱性は、企業がファイルを安全に転送するために使用していたソリューションを標的にしており、世界中の企業が影響を受けました。
脅威アクター「Nam3L3ss」の主張によると、以下の企業がデータ窃取の対象となった可能性があります:
- Lenovo
- HP
- TIAA
- Schwab
- HSBC
- Delta Airlines
- マクドナルド
- メットライフ
今後の対応と対策
アマゾンの対応
- サードパーティとの連携を強化し、セキュリティ対策を再構築。
- MOVEit関連のリスクについて、従業員への注意喚起を実施。
企業全体への教訓
今回のサイバー攻撃は、サードパーティシステムが引き起こすリスクを示しています。企業は以下の対策を講じるべきです:
- サードパーティ管理の厳格化: 外部委託先のセキュリティ状況を定期的に監査。
- ゼロデイ脆弱性への即時対応: 脆弱性情報の監視と早期パッチ適用を徹底。
- 従業員教育の強化: フィッシング攻撃への意識向上を図る。
まとめ
アマゾンの事例は、サードパーティシステムが引き起こすセキュリティリスクを再認識させる重要な事例です。企業は、自社システムだけでなく外部委託先のセキュリティ体制も見直し、より強固な防御体制を構築する必要があります。
