Amazonが2023年のセキュリティ侵害で従業員情報が盗まれたことを認める

Amazonが2024年11月11日に、SFTPおよびHTTPプロトコルを使用してファイル転送を行う企業向けサービス「MOVEit Transfer」のセキュリティ上の欠陥により、従業員情報などが流出していたことを認めました。

Amazon confirms employee data stolen after hacker claims MOVEit breach | TechCrunch
https://techcrunch.com/2024/11/11/amazon-confirms-employee-data-stolen-after-hacker-claims-moveit-breach/

Amazon confirms employee data breach, but says it’s limited to contact info - The Verge
https://www.theverge.com/2024/11/11/24293817/amazon-employee-emails-phone-numbers-moveit-data-breach

Massive MOVEit Vulnerability Breach: Hacker Leaks Employee Data from Amazon, McDonald's, HSBC, HP, and Potentially 1000+ Other Companies | InfoStealers
https://www.infostealers.com/article/massive-moveit-vulnerability-breach-hacker-leaks-employee-data-from-amazon-mcdonalds-hsbc-hp-and-potentially-1000-other-companies/

ファイル転送サービスのMOVEit Transferでは、リモートでのコード実行につながる重大度の高いゼロデイ脆弱(ぜいじゃく)性の「CVE-2023-34362」が2023年5月に発見されています。これまで、CVE-2023-34362を悪用して数百社の企業に「機密情報を暴露する」と脅迫する事件が発生しているほか、ソニー・インタラクティブエンタテインメント(SIE)の従業員および元従業員の個人情報約6800人分が流出しています。

ソニーがセキュリティ侵害で約6800人分の従業員データが流出したことを認める - GIGAZINE

さらに、「Nam3L3ss」と呼ばれる脅威アクターは2024年11月に、ハッキングサイト「BreachForums」においてCVE-2023-34362を悪用して入手した企業25社の従業員情報を公開。その中にはAmazonやメットライフ、HP、デルタ航空、Lenovo、マクドナルドなど合計280万行以上のデータが含まれていました。

Amazonから流出した情報は、2023年5月時点での従業員の個人名や所属、勤務先の電話番号、社用メールアドレスなど。海外メディアのInfoStealersは「組織での役割や所属部門に関する機密情報も明らかにされているため、ソーシャルエンジニアリングやその他のセキュリティ上の脅威につながる可能性があります」と警告しました。

Amazonの広報担当者であるアダム・モンゴメリー氏は従業員情報が流出したことを認め「AmazonとAWSのシステムはセキュリティを維持しており、これまでにデータ流出を含むセキュリティインシデントは発生していません。また、MOVEit Transferを含むサードパーティーベンダーは社会保障番号や財務情報等の機密データにアクセスすることはできません」と報告しています。なお、影響を受けた従業員の数についてモンゴメリー氏は明かしませんでした。

しかし、Nam3L3ssは「これまでに公開したのは私が入手したデータの0.001％に満たないものです。今後、これまでにない1000件以上のリリースが控えています」「皆さん、注意してください。今回公開したのは会社の従業員名簿だけですが、一部のサイトには組織構造があり、さらに他のファイルが保存されていました」と主張しています。