数百万件もの個人情報が政府機関や企業から流出、ファイル転送サービスの脆弱性に原因

2021年2月19日、Accellionが提供するファイル転送サービスの脆弱性が利用したハッキングが行われ、アメリカの大手スーパーマーケット「クローガー」の顧客情報などが漏えいしたと報道されました。Accellionのサービスはクローガーの他にも多くの企業や政府機関が使用しているため、データ漏えいの被害は少なくとも数百万件に及ぶとみられています。

Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers
https://www.prnewswire.com/news-releases/accellion-security-incident-impacts-kroger-family-of-companies-associates-and-limited-number-of-customers-301231891.html

Kroger data breach exposes pharmacy and employee data
https://www.bleepingcomputer.com/news/security/kroger-data-breach-exposes-pharmacy-and-employee-data/

Kroger is latest victim of third-party software data breach
https://apnews.com/article/software-c4815b9f0c0092071bad97d9f6842fe6

クローガーが発表した声明では、2021年1月23日にAccellionから情報漏えいの通知があり、即座にAccellionの利用を中止したとのこと。クローガーはこのハッキングにより影響を受けた顧客は全体の1％未満であり、発表時点ではクレジットカード情報やオンラインショップのアカウント情報への影響は確認していないと述べ、影響を受けた可能性のある顧客全員に通知して無料のセキュリティ通知サービスを提供するとしています。

Accellionのファイル転送サービスは世界中に3000を超える顧客が利用しているとされています。クローガーに続き、同サービスを利用するワシントン州監査局は2021年2月1日に約160万件の失業保険請求に関する個人情報などがハッキングにより漏えいした可能性があると発表。ニュージーランド準備銀行もデータシステムの一部がハッキングを受けたと発表しています。

Accellionのファイル転送サービスは2000年頃に開発された古いシステムで、Accellionは顧客に対して自社の新しいサービスに移行するよう、2018年頃から勧告を行っており、2021年4月30日に保守サービスを終了するとも発表しています。Accellionは外部の調査員と協力して脆弱性の調査を行うと述べています。

なお、2020年12月にはSolarWindsが提供するネットワーク管理ソフトウェア「Orion Platform」の脆弱性を利用し、このソフトウェアを使用するアメリカ政府の各機関や民間企業への大規模なハッキングが行われたと報道されています。2021年2月にはPC遠隔操作ソフトウェア「TeamViewer」を利用した水処理施設へのハッキングが行われており、サードパーティソフトウェアを利用したハッキング事件が続く事態となっています。