ミズーリ州社会福祉局(DSS)は、2023年5月にIBMコンサルティングで発生したデータセキュリティ侵害に端を発するサイバー攻撃を受け、住民に対し個人情報の保護を徹底するよう促す警告を発出しました。
この侵害により、多数のメディケイド参加者の身元情報が露出した可能性があります。州内でメディケイドサービスの運営を担うDSSは、火曜日に公表したプレスリリースで、この事案の詳細を明らかにしました。
侵害の中心となったのは、Progress SoftwareのMOVEit Transferソフトウェアで発見された脆弱性で、IBMが使用していたサードパーティ製アプリケーションです。DSSのシステム自体は影響を受けませんでしたが、同局に属するデータが侵害されました。侵害の通知を受けて、IBMは調査のため当該ソフトウェアの使用を停止し、必要な修正を適用しました。
MOVEitの脆弱性について詳しく読む:MOVEit Transferで悪用された重大なゼロデイ脆弱性
2023年6月13日、IBMはDSSに対し、MOVEitアプリケーション内のファイルへの不正アクセスが発生し、メディケイド参加者の保護対象医療情報が含まれていた可能性があると報告したとされています。
「[これらの攻撃の背後にいる]ギャングに攻撃された組織の多くは、脆弱性を修正するために数週間の猶予があったにもかかわらず、間に合いませんでした。パッチ適用の遅れは、ソーシャルエンジニアリングに次いで、ハッキング成功の原因として2番目に大きいのです」と、KnowBe4のデータ主導型防御エバンジェリストであるロジャー・グライムズ氏は述べています。
「だからこそ、セキュリティ業界はソフトウェア部品表(SBOM)と呼ばれるものに取り組んでいます(…)。狙いは、攻撃者によって何カ月、何年にもわたり繰り返し悪用される、こうした未修正の脆弱性が、より起こりにくくなることです。」
DSSはアクセスされたファイルを入手した とし、現在その内容を分析していると述べました。この事案に関わる情報には、個人名、同局のクライアント番号(DCN)、生年月日、給付の受給資格状況または補償の可能性、ならびに医療請求情報が含まれます。
同局は影響を受けた個人への通知を開始しており、信用情報(クレジット)レポートを監視し、情報を保護するための対策を講じるよう助言しています。
DSSは、この問題に対処するため、ZeroFox CompanyであるIDXと協力し、支援のための専用コールセンターと対応ウェブサイトを設置しています。
翻訳元: https://www.infosecurity-magazine.com/news/moveit-affects-missouri-medicaid/
