アマゾン、過去に発生した不正アクセスによる情報漏洩を認める
米 アマゾンは、2023年5月のファイル共有・転送サービスMOVEitの脆弱性を悪用したサイバー攻撃(不正アクセス)で盗まれたとされるデータがハッキングフォーラムに漏洩していましたが、2024年11月にこのインシデントによりアマゾンの従業員情報に関わるデータ侵害を認めました。
サイバー攻撃(不正アクセス)の概要
2023年、MOVEitの脆弱性を狙ったSQLインジェクション攻撃が多数の企業へ影響を受け、ハッカー「Nam3L3ss」がダークウェブのハッキングフォーラムで、名前、連絡先情報、建物の所在地、電子メールアドレスなどを含む280万行を超えるAmazon従業員データを公開しました。
このサイバー攻撃に関してのデータ漏洩はアマゾンは声明を出していませんでしたが、BleepingComputerの取材で、
アマゾンの広報担当者アダム・モンゴメリー氏はハッカー「Nam3L3ss」によるデータ漏洩の主張を認め、このデータはサードパーティのサービスプロバイダーのシステムから盗まれたものであること
漏洩に関するAmazonの情報は、職場のメールアドレス、電話番号、建物の所在地など、従業員の職場連絡先情報のみでは社会保障番号、政府発行の身分証明書、財務情報などの従業員の機密情報にアクセスはされていない
とコメントしています。
MOVEitの脆弱性を狙ったサイバー攻撃とは
2023年、自社と顧客間でファイルを安全に転送するために企業環境で使用されるマネージド ファイル転送 (MFT) ソリューションである MOVEit Transfer セキュア ファイル転送プラットフォームのゼロデイ 脆弱性が悪用され世界中の会社で影響が発生しました。
脅威アクター「Nam3L3ss 」はこの脆弱性を利用したと思われるサイバー攻撃でLenovo、HP、TIAA、Schwab、HSBC、Delta、マクドナルド、メットライフなどからのデータ窃取と漏洩の可能性を主張しています。
参照