概要

  • 悪用とデータ窃取が公表前に確認されていたため、最初のパッチ競争は一部の顧客環境が既に侵入を受けた後に開始された。パッチ適用は不可欠だったが、それだけでは既に盗まれたものを特定することはできなかった。
  • 説明責任は分散しているが曖昧ではない。Progress は製品のセキュリティ、クラウド対応、パッチ、勧告を管理し、運用者は露出、ローカルの証拠、保持を管理し、サービスプロバイダーは顧客へのエスカレーションを管理し、データを所有する組織は自社の情報がどこを経由したかを把握し、影響を受ける人々に通知する義務を保持していた。
  • 最も重要な統制は、脆弱なコードパスの外部に存在することが多かった。インターネット上の資産目録、耐久性のあるログ、短いファイル保持期間、そしてマッピングされたサプライヤー関係が、組織が窃取を制限し、その範囲を証明し、数カ月にわたる再構築なしに人々に通知できるかどうかを左右した。

転送サービスが一時的な保管庫と化した

MOVEit Transfer は、極めて重要な境界に位置していた。組織は、給与ファイル、年金記録、学生の成績表、健康情報、政府データなど、通常の電子メールでは扱うにはセンシティブすぎるか、運用上重要すぎる資料を交換するためにこれを使用していた。管理されたファイル転送システムは、送信者と受信者の認証、転送の暗号化、定期的な交換の自動化、活動の記録といった制御を改善することを目的としている。しかし、これらの機能は同時に、貴重なデータを集中させ、内部ワークフローと外部当事者との間に Web アクセス可能なアプリケーションを介在させる。セキュリティの約束と集約リスクは、同じ設計の表裏一体である。

この区別が重要なのは、2023 年の出来事がしばしば単純なストーリーに圧縮されるからだ。Progress Software に脆弱性があり、犯罪グループがそれを悪用し、数千もの組織が侵害されたというものだ。どの節にも真実が含まれているが、その圧縮によって被害の規模を変えた意思決定が隠蔽される。脆弱性は共通の侵入口だったが、どのサーバーが露出していたか、ファイルがどれだけの期間利用可能であったか、信頼できるログが残っていたか、サプライヤーがどれだけ迅速に顧客に警告したか、あるいはデータ所有者が自社の記録が第四の当事者を経由したことを知っていたかどうかは、脆弱性が決定したわけではない。これらの決定はサービスチェーン全体に分散していた。

Progress 自身、二つの実質的に異なる運用モデルを説明している。MOVEit Transfer は顧客自身の環境にインストールされ、一方 MOVEit Cloud はパブリックおよび顧客専用のクラウドインスタンスで運用された。同社の2023 年 7 月の四半期報告書によると、オンプレミス製品では、顧客のデプロイバージョン、ファイル転送アクティビティ、保存データ、パッチ状況に関する継続的なテレメトリが Progress に提供されないとしている。これは些細な実装詳細ではない。これは、ベンダーが修正プログラムを発行する能力と、オペレーターがそれを展開し、自身のインスタンスを調査し、何が起きたかを報告する能力との境界を示している。

クラウドという言葉は、この境界を曖昧にしうる。MOVEit Cloud は、Progress が停止、パッチ適用、復旧できるサービスだった。オンプレミスの MOVEit Transfer サーバーは、ビジネスチームにとっては管理された、あるいはクラウドのような依存関係として認識されていたとしても、顧客の運用下にあるサプライヤー製品だった。ある請負業者が別の組織のためにそのサーバーを運用し、その請負業者がさらに多くの顧客のデータを扱うかもしれない。転送ファイル内に社会保障番号や医療情報が含まれていた個人は、Progress とも、オペレーターとも、実際に脆弱なインスタンスを保持していた仲介者とも、何の関係もないかもしれない。

したがって、このキャンペーンは二種類の集中を露呈した。インターネットに面したサーバーに展開された製品における技術的集中と、一つの MOVEit 環境を使用して多数の顧客のファイルを交換するサービスプロバイダーにおける契約上の集中である。一つの侵害されたインストールが、数十から数百の下流のレビューを引き起こす可能性があった。後の公的記録は、攻撃者が活動を続けたためにだけ拡大したのではない。組織が徐々にサプライヤーが保持していたものを把握し、ファイルをクライアントに結び付け、個人を特定し、異なる法的通知義務を果たしたために拡大したのである。

この事件が、単なるパッチ管理の失敗ではなく、信頼境界の失敗として読まれるべき理由はここにある。Progress のコード品質は中心的要素だった。また、顧客がその境界に機密情報を置いた条件や、アクセスを再構築するために保持した証拠も同様に重要だった。責任は制御に従う。誰が欠陥を防げたか、誰が露出を減らせたか、誰が利用可能なデータを制限できたか、誰が証拠を保存できたか、そして誰が残存リスクに直面する人々に警告できたか、である。

5 月 27 日~30 日:公的な防御が存在する前の悪用

公表されている最古の証拠は、最初の悪用の試みを確定するものではない。それは下限を定めるものだ。Mandiant は、自社のインシデント対応活動全体を通じて、観測された最古の証拠は 2023 年 5 月 27 日であり、Web シェルの展開とデータ窃取が行われたと報告した。Rapid7 もまた、5 月 27 日と 28 日に遡る侵害指標とデータ流出の兆候を確認したと別途発表した。これらの調査結果は、公表前の悪用を裏付けるものだが、すべての被害者がこれらの日付にアクセスされたことや、それ以前のテストが行われなかったことを証明するものではない。

観測された攻撃チェーンは、後に CVE-2023-34362 と指定された SQL インジェクションの脆弱性を利用していた。NVD エントリは、認証されていない攻撃者が HTTP または HTTPS 経由で MOVEit データベースに到達し、データを推測し、データベース要素を変更または削除するステートメントを実行できると説明している。インシデント対応者は、正当な MOVEit コンポーネントに似せたファイル名で配置された LEMURLOOT と呼ばれる専用の Web シェルを観測した。このシェルは、ファイルの列挙、構成情報の取得、特権的な外観のアカウントの作成または削除、選択されたファイルの取得が可能だった。Mandiant は、Web シェルの展開から数分以内にデータ窃取が行われたケースを確認している。

この観測された挙動は、後に研究者たちが再現した最大限の技術的影響よりも狭い。Huntress は、管理アクセス、ファイル窃取、任意のコード実行が可能な完全なエクスプロイトチェーンを再現したと報告した。この実験室での結果は、その欠陥が何を可能にしうるかを示したものであり、2023 年のキャンペーンがランサムウェアを展開したり、その方法で全てのホストを制御したりした証拠ではない。公表された被害報告は、一般的に MOVEit 環境からのデータ窃取を記述しており、多くの場合、より広いネットワークへの水平移動はなかった。優れたフォレンジックの記述は、能力、観測された行為、被害者固有の調査結果を明確に区別しなければならない。

Progress 自身の時計は、顧客からのシグナルで動き始めた。同社の提出書類によると、MOVEit テクニカルサポートチームは、米国東部時間 5 月 28 日夜に、顧客インスタンスでの異常な活動に関する最初の通報を受けた。調査チームが招集され、5 月 30 日に Transfer と Cloud の両方に影響するゼロデイ脆弱性を特定した。この一連の流れは、ベンダーが事前の公的警告もないまま、放置されたパッチと共に事態に突入したわけではないことを示す点で、説明責任にとって重要である。最初の確かな防御の窓は、顧客の証拠が表面化した後に初めて開かれたのだ。

その事実は、プロダクトセキュリティに関する疑問を解消するわけではない。ゼロデイとは、悪用時点における防御側の知識の欠如を示す表現であり、根本的な欠陥が不可避だったとか、以前からのセキュア開発管理が十分だったという結論ではない。SQL インジェクションは、古くから確立されている脆弱性のクラスである。公的記録は、この経路の存続を許した正確なコードの履歴、レビューの網羅性、テストケース、内部設計上の決定を明らかにしていない。したがって、その製品に深刻で悪用可能な欠陥が含まれていたという確固たる結論を支持するが、どの開発者や経営判断がそれを引き起こしたかについての詳細な主張を支持するものではない。

公表前の期間は、顧客のパッチ対応の評価も再構成する。5 月 27 日から 30 日に侵害された組織は、まだ存在していないパッチをインストールすることはできなかった。彼らに当てはまる事前の統制は、露出管理、Web アプリケーション防御、セグメンテーション、異常検知、ロギング、データ最小化だった。これらの統制は、新しい攻撃チェーンを阻止することを保証するものではなかったが、到達可能な母集団を減らし、予期しない活動を検知し、結果を制約し、後の立証を可能にすることができた。初期の被害者をすべて「未パッチ」と呼ぶことは、後知恵を時系列に置き換えることになる。

5 月 31 日:公表、封じ込め、最初のパッチ競争

5 月 31 日、Progress はこの重大な問題を公表し、サポート対象の Transfer リリース向けの修正プログラムを提供し、自社のクラウド環境にパッチを適用した。同社の後の顧客向けパッチ FAQでは、CVE-2023-34362 が、5 月 31 日から 6 月 15 日までの間に伝えられた 3 つの脆弱性の最初のものとして特定されている。リリースノートには、5 月 31 日のMOVEit Transfer 2023.0.1を含め、メンテナンス対象ブランチ全体でのセキュリティホットフィックスバージョンが示されている。

直ちに発せられたガイダンスは、単に「都合の良い時にアップデートをインストールせよ」ではなかった。組織は、パッチを適用し、インジケーターを調査し、不正アクセスを調査できるようになるまで、MOVEit への HTTP および HTTPS アクセスをブロックするよう指示された。この措置は、可用性と封じ込めを引き換えにするものだった。脆弱な面が Web アプリケーションだったため、Web アクセスを遮断することは、攻撃経路だけでなく通常のワークフローも中断させた。オペレーターは、緊急のファイルをどう移動させるか、どのビジネスプロセスが待機可能か、いつ証拠が十分に揃ってサービスを復旧できるかを決定しなければならなかった。

Progress は MOVEit Cloud について、このトレードオフを直接制御した。同社は Web アクセスを停止し、調査を行い、修正を適用してサービスを復旧した。6 月 5 日の対応アップデートで、同社はこれらの措置が 48 時間以内に行われ、外部のフォレンジック企業が管理された未パッチのインスタンスに対してパッチをテストしたと述べた。Progress はまた、クラウド顧客に対し、監査ログで異常なダウンロードがないか検査し、アクセスログ、システムログ、保護ソフトウェアのログを確認するよう強く求めた。

オンプレミスの Transfer については、ベンダーは公表と通知を行うことはできたが、すべてのインストールに手を差し伸べることはできなかった。同社の提出書類によれば、当時把握していたすべての現行および過去の顧客に通知したという。しかし、継続的な製品テレメトリがないため、Progress は誰がまだ露出したインスタンスを保持しているか、どのバージョンが稼働しているか、あるいはオペレーターが修正を適用したかどうかを確認できなかった。顧客記録と直接の通知は有用ではあったが、リアルタイムの資産目録ではなかった。

「把握している」という言葉は重要だ。エンタープライズソフトウェアは、それを調達したチームよりも長く存続しうる。あるビジネスユニットが、請負業者の下でサーバーを運用しているかもしれない。かつての顧客が古いインストールを保持しているかもしれない。あるサービスプロバイダーが、自社の資産目録にその名前が一度も現れないクライアント向けにアプリケーションを公開しているかもしれない。インターネットスキャンデータは、可視化されたサービスの特定には役立つが、すべての所有関係やデプロイ関係を解決することはできない。したがって、パッチ競争は、Progress の顧客連絡先、各オペレーターの技術資産、各データ所有者のサプライヤーマップという三つの目録が、プレッシャーの下で整合することにかかっていた。

5 月 31 日のパッチは、最初のフォレンジック上の疑問、すなわち「悪用は既に発生していたのか」にも答えなかった。脆弱な経路を取り除くことは、その経路の新たな利用を防ぐが、Web シェルを消去したり、窃取を元に戻したり、以前のアクセスがなかったことを証明したりはしない。ファイルシステム、IIS ログ、データベースの証拠、アプリケーション監査記録を保存せずにパッチを適用し、直ちにサービスを復旧したオペレーターは、現在のセキュリティを向上させるかもしれないが、インシデントの範囲を特定する能力を弱める可能性がある。

この区別は、実際の対応タイムラインにも現れた。ノバスコシア州政府の公開インシデント報告書によると、同州のチームは 6 月 1 日にアドバイザリを確認し、MOVEit をオフラインにし、パッチを適用してサービスに復帰させた。6 月 2 日、カナダサイバーセキュリティセンターが疑わしい IP アドレスのチェックを推奨した後、再度システムを停止した。調査員はその後、不審な活動を発見し、後に 5 月 30 日と 31 日、パッチ適用前にファイルが盗まれていたことを確認した。パッチは封じ込めとしては成功したが、最初の復旧は完了した調査ではなかったのだ。

6 月 1 日~7 日:公的証拠によりキャンペーンが可視化された

技術報告は公表後、迅速に進んだ。Rapid7 は複数の顧客環境からの観測結果を公開した。Mandiant は LEMURLOOT の挙動とデータ窃取を文書化した。Huntress はホストとログのアーティファクトを共有し、その後エクスプロイトチェーンを実証した。CISA は 6 月 2 日、CVE-2023-34362 を悪用が確認された脆弱性カタログに掲載し、米国連邦政府の民間機関に対して 6 月 23 日の修復期限を設定した。6 月 7 日、FBI と CISA は、インジケーター、検出資料、防御策を含む共同アドバイザリを発行した。

この集合的な情報開示は、オペレーターが利用できる証拠を変えた。不正アクセスに関する一般的なアラートは、特定の Web シェル名、アプリケーションリクエスト、アカウントの痕跡、送信元アドレス、異常なダウンロードの探索へと変わった。防御側は、自身の IIS やアプリケーションの記録を、他の場所で観測されたパターンと比較できた。しかし、インジケーターは手がかりであり、二値の判定ではない。ファイル名は異なりうる。インフラは変わりうる。既知のインジケーターが見つからないからといって、侵害がない、別の痕跡がある、保持期間が切れている、あるいは収集が不十分であるといった可能性が否定されるわけではない。

パブリックネットワークのビューは、別の種類の証拠を提供した。Censys は、公表期間の前後にインターネットに露出した MOVEit ホストが 3,000 以上あったと報告し、その数が翌週には約 2,600 に減少したと観測した。これは意味のある露出インテリジェンスだった。外部から何千ものサービスが特定でき、一部のオペレーターはシステムをオフラインにしているように見えた。これは被害者数ではない。Censys は後の業界分析で、インターネットスキャナーはサービスを特定できるが、その事実だけからデバイスが脆弱か侵害されているかを判断することはできないと明確に注意を促している。

この区別は、ネットワークリソース証拠というトピックにおいて不可欠である。露出したホスト名、IP アドレス、自律システムとの関連付け、サービスのフィンガープリントは、特定の観測時にそのサービスが公に到達可能だったことを立証できる。これは企業が未知の資産を発見したり、ホスティングプロバイダーを特定したり、アウトリーチの優先順位を決めたりするのに役立つかもしれない。しかし、誰がアプリケーションを制御していたか、各応答の背後でどのソフトウェアビルドが実行されていたか、補償的統制がエクスプロイトをブロックしたかどうか、あるいはデータがサーバーから離れたかどうかを立証することはできない。スキャン結果を侵害の証拠として扱うことは証拠を誇張することになり、無視することは重要な独立した資産目録のシグナルを捨て去ることになる。

Mandiant のインフラストラクチャ調査結果は、異なる層に位置する。同社は、スキャンと初期の悪用の多くが特定のネットブロックから行われていた一方で、その後の Web シェルを介したやり取りと窃取は他のシステムから行われていたことを観測した。また、インターネットプロバイダー、アドレス範囲、証明書、過去のインフラストラクチャにおける重複も発見した。これらの観測結果は、脅威クラスターの評価を裏付けるものだったが、リストにあるアドレスからのあらゆるリクエストが悪意あるものになるわけではなく、リストにあるインフラストラクチャだけが使用されたことを証明するものでもなかった。防御側は、ネットワーク記録をアプリケーションの挙動やローカルの痕跡と相関させる必要があった。

帰属もこれと同時期に進展した。Progress は、Microsoft がこの活動を Lace Tempest に関連付け、それが FIN11 や TA505 と重なるとした一方で、Progress は 6 月 5 日の時点でこの評価を独自に確認していないと述べた。Mandiant は当初この活動を UNC4857 として追跡し、その後、標的、インフラ、証明書、リークサイトの重複に基づいて FIN11 に統合した。CL0P のリークサイトへの投稿では犯行声明が出され、被害者が連絡してこなければ公開すると脅迫した。

したがって、最も弁護可能な表現は層状になる。インシデント対応者は、このキャンペーンを CL0P/Clop のオペレーションに関連するクラスターに帰属させた。CL0P リークサイトの運営者が犯行声明を出し、政府のアドバイザリは CL0P および TA505 のラベルを使用した。犯罪者の主張は、文脈を補強するものであり、被害者の完全な集合や、いずれかの組織のデータに何が起きたかに関する信頼できる約束ではない。例えば、政府データは削除されるという主張は、インシデントの証拠やリスク評価の代わりにはならない。

また、このキャンペーンは従来のランサムウェアイベントとも異なっていた。公的証拠は、被害者ネットワーク内部での広範な暗号化ではなく、迅速なデータ窃取とその後の恐喝に焦点を当てていた。Huntress は、脆弱性がより広範な実行を許容しうることを証明したが、CISA や被害者報告は、Web シェルアクセスと流出を中心とした観測されたキャンペーンを説明していた。対応の優先順位は異なるため、正確さが重要である。暗号化されたシステムの復旧は、どの一時的なファイルがコピーされ、それが誰の情報を含んでいたかを特定することと同じ作業ではない。

6 月 9 日~7 月 6 日:緊急アップデートがパッチシーケンスとなった

最初の修正でプロダクトセキュリティの作業が終わったわけではなかった。追加のコードレビュー中に、Huntress と Progress は異なる SQL インジェクション経路を特定した。Progress は 6 月 9 日、CVE-2023-35036 に対する新しいパッチをリリースし、MOVEit Cloud に展開した。6 月 13 日のセキュリティアップデートで、Progress は、この新たに発見された脆弱性が悪用された証拠は見ていないと述べた。6 月 15 日には、CVE-2023-35708 を公表しパッチを適用した。7 月の FAQ でも、同社は 6 月 9 日または 6 月 15 日の欠陥が悪用された兆候は確認されていないと述べている。

この限定条件は、よくある時系列の誤りを防ぐ。CVE-2023-35036 と CVE-2023-35708 は、オペレーターの修復作業を増やし、当初のレビューがさらなるリスクを発見したことを示した。これらは、5 月のキャンペーンで使用された侵入口として安易に説明されるべきではない。CVE-2023-34362 こそが、公的なインシデント証拠によって大量窃取に結び付けられた脆弱性である。それ以降の発見は、被害者固有の証拠が別のことを証明しない限り、対応と露出管理のストーリーの一部である。

オペレーターは今や、度重なる緊急変更に直面した。5 月 31 日や 6 月 1 日に Web アクセスをブロックし、証拠を保全し、アップグレードして復旧させたチームは、6 月 9 日に再び対応しなければならなかった。その 1 週間足らず後には、再度行動する必要があった。ノバスコシア州の後の規制記録は、まれに見る運用上の時系列を提供している。ベンダーと業界の情報源を監視していたスタッフは、6 月 9 日のアドバイザリにフラグを付け、パッチを適用してアップグレードした。6 月 15 日には別の重大インシデントを宣言し、ユーザーアクセスをブロック、6 月 16 日にパッチを適用してサービスを復旧した。調査員は、これらの後の事象において追加の窃取はなかったと判断した。

7 月 5 日、Progress はサービスパックを発行し、より予測可能なサービスパックプログラムを正式に定めた。Rapid7 のタイムラインには、7 月 6 日頃にさらに 3 つの CVE が公表されたことが記録されている。すなわち、CVE-2023-36934(認証前の深刻な SQL インジェクション)、CVE-2023-36932(認証後の SQL インジェクション)、CVE-2023-36933(アプリケーションをクラッシュさせる可能性のある例外処理の問題)である。ここでも、公的記録は、これらの追加の欠陥が当初のキャンペーンに結び付くものだとは、修正が利用可能になる前に示してはいない。

この一連の流れは、サプライヤーの線引きの両側に説明責任を生じさせる。Progress には、レビューの範囲を拡大し、メンテナンス対象バージョン向けの検証済み修正を作成し、Cloud を更新し、どのパッチが以前のものに取って代わるのかを明確に伝達する責任があった。顧客には、資産カバレッジや証拠を失うことなく、複数回のリリースを吸収できる緊急変更パスを維持する責任があった。月次メンテナンス向けに設計されたパッチプロセスは、厳しい監視下にある製品には適さなかった。

頻繁な修正は、保証も複雑にする。「パッチ適用済み」という状態は、時間に依存するものとなった。6 月 1 日に最新だったシステムは、6 月 10 日には最新ではない。MOVEit がパッチ適用済みかどうかを、バージョンや観測時刻なしに尋ねるアンケートは、安心させるが無意味な答えを生みかねない。顧客は、全インスタンスのデプロイバージョンの証拠、Web アクセスがブロックされ復旧された時期の記録、そしてアップグレードが Web ファームや専用環境内のノードを見落としていないかのチェックを必要とした。

サービスパックによる対応は建設的だったが、それはライフサイクル問題も認識させるものだった。すなわち、オペレーターはセキュリティ修正のためによりシンプルで予測可能な経路を必要としていた。Progress は、サービスパックを約 2 ヶ月ごとに提供することを見込んでいる、と述べた。予測可能性は、定常的な採用には役立つ。しかし、活発な悪用危機の最中には、緊急通知、テスト済みのホットフィックス、バージョン固有の指示が依然として必要である。定期的なリズムが、既知の重大な経路に対する修正を遅らせることはできない。

通知の連鎖が第二のインシデントだった

6 月初旬までに、技術的なキャンペーンはそのパターンをほぼ確立していた。公的な影響はまだ始まったばかりだった。盗まれたすべてのファイルは、アプリケーションからビジネスプロセスへ、ビジネスプロセスからクライアントへ、そしてクライアントから個人と法的義務へとマッピングされなければならなかった。これは事務的な後片付けではなかった。フォレンジック、プライバシー、法務、カスタマーサービス、コミュニケーションのキャパシティを何ヶ月も消費する、第二のインシデントだったのである。

一部の組織は MOVEit を直接運用していた。ニューヨーク市教育局は、6 月 1 日に脆弱性を把握し、数時間以内にパッチを適用し、後に 5 月 28 日に約 19,000 のファイルがコピーされていたことを確認したと発表した。ファイルには生徒の評価、サービスの進捗報告、メディケイドの資料、職員の休暇記録が含まれていた。同局は、ネットワークの他の部分にはアクセスされなかったと述べた。この声明はインシデントを転送環境に限定するものだが、含まれるデータのセンシティビティを下げるわけではない。

ノバスコシア州も同様に、政府の MOVEit サービスを運用していた。同州の公開タイムラインは、6 月 1 日のパッチから、6 月 2 日の再停止、6 月 3 日の窃取の確認を経て、6 月 16 日から始まった段階的な通知へと進んだ。州のMOVEit 侵害ページには、医療従事者、公務員、年金受給者、学生、コミュニティサービスクライアントへの通知書のバッチが記録されている。後のプライバシーコミッショナー報告書によると、6 月下旬から 9 月にかけて約 168,000 通の通知書が発送された。

他の組織は、サプライヤーを通じてこのインシデントに遭遇した。CalPERS は 6 月 21 日、会員の死亡確認と過払い防止に利用していた PBI Research Services が影響を受けたと発表した。その公告は、年金データがサービスプロバイダーに移動し、そのサービスプロバイダーが MOVEit を使用し、結果として年金システムが会員に警告しなければならなかったという連鎖を示している。脆弱なサーバーは必ずしもデータ所有者自身のネットワーク内にはなかったが、その影響はデータ所有者とその受益者に戻ってきた。

メディケア・メディケイドサービスセンター (CMS) は、別の連鎖を説明した。Maximus は、メディケアの不服申し立てを支援する業務で MOVEit を使用していた。CMS の通知によると、Maximus は 5 月 30 日に異常な活動を検知し、5 月 31 日早朝にアプリケーションの使用を停止、6 月 2 日に CMS に通知した。CMS と Maximus は 7 月下旬、推定 612,000 人の現在の受益者への通知を開始し、クレジットモニタリングと、該当する場合にはメディケア番号の再発行を提供した。CMS は、自社のシステムは侵害されていないと強調した。これはネットワーク範囲に関する重要な事実だが、影響を受けた情報は、依然として CMS 関連のデータであり、請負業者によって保持されていたものだった。

Maximus の SEC 提出書類は、その規模が一つの政府顧客を超えて拡大していることを示している。同社の2023 年 9 月の四半期報告書は、MOVEit を政府プログラムのデータを含む内部および外部の共有に使用しており、ファイルに社会保障番号、健康情報、その他の個人データが含まれている可能性がある人々に通知したと述べている。したがって、一つのオペレーターのリポジトリが、異なるタイミングで異なる公的名称の下、複数の顧客通知を生成する可能性があった。

Ofcom の開示は、封じ込めとデータ所有者の責任の両方を示している。6 月 12 日、英国の通信規制当局は、412 人の従業員の個人データと一部の企業機密情報がダウンロードされたと発表した。同局はサービスのさらなる利用を停止し、推奨される措置を適用し、影響を受けた被規制企業に警告を発した。Ofcom はまた、自社のシステムは侵害されていないと述べた。それでも、サービス境界がデータ責任を消し去るわけではないため、盗まれた情報には対応が必要だった。

メイン州は、公表された件数が悪用の窓が閉じた後も長期間にわたって増え続けた理由を示している。同州は 11 月 9 日、広範な通知を開始するのに十分な精査が完了したと発表した。公式インシデント声明では、省庁横断的な分析と、関係するデータに応じた異なる救済措置が説明された。メイン州司法長官の侵害ポータルへの提出書類には、1,324,118 人の影響を受けた人々(うちメイン州居住者は 534,194 人)が記載され、侵害日は 5 月 28 日~29 日、発見は 5 月 31 日とされた。通知までの期間は、大規模なファイルセット全体から個人を特定することの難しさを反映しており、また、影響を受けた人々が個別の情報を得られなかった数ヶ月間をも示している。

英国国家サイバーセキュリティセンター (NCSC) は、MOVEit ガイダンスの中で、サプライチェーンのパターンを明確に説明している。つまり、サプライチェーンが当該アプリケーションを使用していた組織が、顧客や従業員のデータに関わる侵害を受けたのだ。この表現は、あらゆるケースを直接の Progress 顧客の侵害と呼ぶよりも有用である。多数のデータ所有者を一つの脆弱なシステムに接続していた下請業者、給与計算代行業者、福利厚生管理者、テクノロジープロバイダー、政府請負業者を捉えている。

独立した集計は、大まかな規模を明らかにするが、注意点が必要だ。Emsisoft の2024 年 6 月の集計は、侵害通知、SEC 提出書類、その他の公的開示、CL0P のサイトから、2,773 の組織と 95,788,491 人の個人を挙げている。同社は、個人のカウントには重複があり、サービスプロバイダーが複数の下流組織を代表する可能性があると警告している。したがって、組織の総数は調査上の集計であり、規制当局が認定した一意の直接侵害の件数ではない。これは「数千が影響を受けた」ことを裏付けるが、数千もの別々に悪用された MOVEit サーバーを証明するものではない。

この連鎖は、損失の測定方法も変える。サーバーの復旧には数日かかるかもしれない。ファイルの精査、法的分析、通知には数か月かかるかもしれない。ID リスクは何年も続く可能性がある。ベンダーの失った収益や訴訟費用は、ほんの一面に過ぎない。請負業者は調査やコールセンターに資金を投じ、データ所有者は通知や修復に費用をかけ、個人は識別子の交換、アカウントの監視、手紙が本物かどうかの判断に時間を費やす。コストは、当初のアプリケーションをはるかに超えてデータに付きまとうのだ。

データ最小化はインシデント対応の統制策だった

予防可能だった被害範囲に関する最も明快な証拠は、緊急事態の後にもたらされた。2025 年 2 月、ノバスコシア州の情報・プライバシーコミッショナーは、詳細な調査報告書を公表した。これにより、政府が MOVEit を転送メカニズムとしてではなく、リポジトリとして頻繁に使用しており、プライバシー影響評価を完了しておらず、システムの保持および廃棄スケジュールを設定していなかったことが判明した。

報告書は、MOVEit にはデフォルトで 14 日間の保持期間が設定されていたが、ユーザーは個人の選択に基づいて、より長期にわたって資料を保持することがあったと述べている。そして、この慣行が侵害を著しく悪化させたと結論付けている。受信後に削除されたファイルは、攻撃者が侵入した時には利用可能ではなかっただろう。これは、一般的なベストプラクティスのスローガンではなく、損害に関する直接的な因果関係の認定である。

データ最小化は、時にサイバーセキュリティとは別のプライバシー原則として位置づけられる。MOVEit は、その区分が誤りである理由を示している。削除は、攻撃者が利用できる目録を変える。2 週間分の転送を含むリポジトリは、何年分もの給与、健康、年金ファイルを含むリポジトリとは異なる機会を提示する。保管時の暗号化は、失われたディスクを保護するかもしれないが、認証済みと同等のアクセス権を持つアプリケーションレベルの攻撃者は、システム独自の機能を通じてファイルを取得できる可能性がある。保存されたコーパスを減らすことは、アクセス制御が失敗した場合でも有効であり続ける。

保持は通知作業の負荷も変える。不要なファイルの一つ一つが、特定すべき別のクライアント、データカテゴリ、個人を生み出す可能性がある。古いファイルには、古い住所、故人、ビジネスオーナーが変更されたレコードが含まれているかもしれない。ノバスコシア州のコミッショナーは、古い連絡先情報のために何千人もの人々が通知を受け取れず、曖昧な通知文がさらなる不安を引き起こしたと認定した。したがって、過剰な保持は、データ窃取の規模と正確な対応の困難さの両方を拡大したのである。

説明責任の伴う統制は、「より早くデータを削除せよ」よりも具体的だ。組織は、ワークフローの完了に結び付けられた転送目的の保持ルールを必要とする。自動化された転送は、受信確認、短い復旧期間、強制的な削除を備えるべきである。例外は、所有者と有効期限を明示すべきである。権威ある記録として必要なファイルは、インターネットに面した転送層に留まるのではなく、その目的のために設計された記録管理システムに移動されるべきだ。オペレーターは、単にデフォルトを文書化するだけでなく、ポリシーよりも古いファイルを測定して報告すべきである。

Progress にも、ここでプロダクトデザイン上の役割がある。デフォルト設定、管理者コントロール、有効期限の強制、レポート、安全な自動化は、顧客の行動を形作る。公的規制当局の認定は、ノバスコシア州の利用とガバナンスに関するものであり、Progress に対する法的結論ではない。それでも、安全な転送ソフトウェアを販売するベンダーは、一時的な取扱いを最も簡単なモードにし、古いデータを表面化させ、組織全体の保持ポリシーを有効にすることで、予見可能な誤用を減らすことができる。顧客の誤用と製品のアフォーダンスは、説明責任の問題として共存しうる。

同じ論理が、データ要素にも当てはまる。給与計算や福利厚生のプロバイダーは、特定の交換のために個人の名前と口座情報を必要とするかもしれないが、ソースエクスポート内のすべての履歴フィールドを必要とするわけではない。データ所有者は、便宜上用いられるデータベース全体の抽出に異議を唱えるべきだ。トークン化、フィールドの抑制、クライアントごとの分離、目的を限定したファイルは、転送が侵害された際に露出するものを減らす。これらの統制は、インシデント前に実装する必要があり、コピーが出て行った後に後付けすることはできない。

ログが、何が起きたかを語れる者を決定づけた

封じ込めの後、中心的な問いは、サーバーが脆弱だったかどうかではなかった。誰かが脆弱性を利用したのか、そして何を取得したのか、だった。その答えは、Web サーバー、MOVEit の監査記録、データベース、ファイルシステム、エンドポイントツール、ファイアウォール、外部観測に分散した証拠にかかっていた。単一の情報源で完全なものはなかった。

Progress は顧客に対し、少なくとも過去 30 日間を調査し、既知のインジケーターを検査し、予期しないダウンロードを探すよう指示した。CISA のアドバイザリは、ネットワークとファイルのインジケーター、検出ルールを提供した。Huntress は、IIS のリクエストパターン、不審なコンパイル活動、悪意あるページに関連するキャッシュされたアーティファクトを特定した。Rapid7 は後に、盗まれたデータを特定する方法を説明した。これらのリソースは、脅威インテリジェンスをローカルな疑問へと変換したが、それは基盤となるログとアーティファクトが存在する場合に限られた。

したがって、ログ保持はインシデント前の統制である。ある組織が Web ログを 7 日間保持しており、6 月 5 日に 5 月 27 日の事象を知った場合、決定的な記録は既に失われているかもしれない。すべてのログが侵害されたホスト上に残っていた場合、十分なアクセス権を持つ攻撃者がそれらを改変するか、復旧中に対応チームが上書きしてしまうかもしれない。中央で、時刻同期され、アクセス制御された収集は、より永続的な記録を作り出す。

アプリケーション監査ログは、管理された転送において特に重要である。なぜなら、成功した攻撃は正当な使用に似ている可能性があるからだ。フォルダーの列挙、セッションの作成、ファイルのダウンロードなどである。ボリューム、タイミング、ソース、アカウント作成、異常なシーケンスが、その活動を区別するかもしれない。ネットワークフローはデータの移動を確認できるが、暗号化下でファイル名を特定できないかもしれない。データベースレコードはオブジェクトを特定できるが、転送された全バイトを証明するわけではない。弁護可能な結論は、「既知のインジケーターなし」を「侵害なし」に変換するのではなく、証拠の根拠と不確実性を明記すべきである。

ネットワークリソースの記録は、ギャップを埋めるのに役立つが限界もある。外部スキャンは、公表の前後に、あるサービスがパブリックアドレスで応答していたことを示せる。証明書の履歴やホスティング記録は、長期にわたってインフラストラクチャを結び付けることができる。Mandiant は、帰属の一部としてアドレス、プロバイダー、証明書の重複を使用した。しかし、外部記録が内部のファイルセットを特定したり、悪用の成功を確認したりすることは稀である。それは、裏付けと発見の証拠であり、ホストやアプリケーションのフォレンジックに取って代わるものではない。

組織は、サプライヤーからの証拠も必要とした。請負業者が MOVEit を運用している顧客は、サーバー自体を検査することができなかった。ログを保全し、フォレンジックを依頼し、クライアント固有の調査結果を提供するよう、請負業者に依存していた。「侵害があれば通知せよ」とだけ書かれた契約では、どれだけ迅速に、どのような証拠をもって、どのデータのマッピングか、顧客が関連ログや独立したレポートを受け取れるのかといった重要な問いが未回答のままになる。このキャンペーンは、これらの条項を運用上の依存関係へと変えた。

説明責任を果たす証拠パッケージには、正確なインスタンスとバージョン、露出期間、パッチ適用とシャットダウンの時刻、チェックした既知のインジケーター、ログソースと保持ギャップ、観測された疑わしいセッション、コピーが確認されたか合理的に考えられるファイル、水平移動に関する証拠、各結論の確信度が含まれるべきである。このパッケージがあれば、下流の組織は自身で法的およびリスク上の決定を下せる。「問題は修復された」という声明は、現在の態勢を記述するものであり、過去の影響を記述するものではない。

露出管理はベンダーと顧客の資産目録を橋渡ししなければならなかった

MOVEit Transfer がインターネットに面した性質であることは、資産発見を容易にも困難にもした。容易になったのは、スキャンサービスがしばしば製品をフィンガープリントできたからだ。困難になったのは、パブリックエンドポイントが、そこをデータが通過する組織ではなく、ホスティングプロバイダー、マネージドサービス企業、請負業者のものである可能性があったからだ。公的スキャンはサーバーを明らかにできても、内部ガバナンスは依然として説明責任のあるビジネスオーナーを特定できなかった。

Censys が観測した 3,000 超から約 2,600 への減少は、急速なシャットダウンまたは可視性の変化を示唆したが、残りのホストのうちどれだけがパッチ適用済みかは判断できなかった。パッチ適用済みのサービスも可視状態のままである可能性がある。脆弱なサービスがアクセス制御の背後にあったり、フィンガープリントを回避している可能性もある。また、カウントはスキャンのタイミング、応答挙動、分類によっても変わる。露出管理では、これらの観測結果をスコアボードとしてではなく、内部記録と照合すべき手がかりとして使用すべきである。

Progress にとって、オンプレミスのテレメトリがないことは、直接的な保証を制限した。プライバシーを保護する製品設計は、当然ながら顧客のファイル詳細をベンダーに送信しないようにするかもしれないが、バージョンとセキュリティ健全性のテレメトリはコンテンツから分離できる。このインシデントは、設計上の問いを提起する。すなわち、顧客は、転送内容を明らかにすることなく、デプロイされたバージョンや重要パッチの状況を報告するメカニズムにオプトインできるか、である。テレメトリがなくても、ベンダーはサポート資格、ライセンス記録、パートナーチャネル、外部から可視化されたフィンガープリントを、対象を絞ったアウトリーチに利用できる。各手法にはカバレッジとプライバシーの限界があり、それらは明示されるべきである。

顧客にとって、資産目録には IP アドレスやソフトウェアだけでなく、目的とデータを含める必要がある。パブリック転送エンドポイントが MOVEit を実行していると知っていても、どの部門、ベンダー、レコードがそれを使用しているかを誰も把握していなければ不十分だ。有用な登録簿は、エンドポイントを、技術所有者、ビジネス所有者、デプロイメントモデル、バージョンソース、インターネット要件、データクラス、保持ルール、サプライヤー、下流顧客、緊急シャットダウン手順に結び付ける。これらのフィールドが、インシデント電話会議に誰が参加するか、脆弱性アラートの後に何が起こらなければならないかを決定する。

露出の低減は、すべてのファイル転送機能が広範な Web アクセスを必要とするという前提にも疑問を投げかける。管理インターフェースは分離できる。パートナーエンドポイントは、ビジネスパターンが許す場合、許可リストやプライベート接続を使用できる。アプリケーションファイアウォールは、検出を追加したり既知の攻撃をブロックしたりできるが、新規のチェーンに対する普遍的な修正として扱うことはできない。セグメンテーションは、転送階層の侵害がより広範なネットワーク侵害に拡大するのを防ぐことができる。影響を受けた複数の組織が後に、MOVEit を超えるアクセスはなかったと報告している。この境界は、転送サービス内のデータが失われた場合でも、意味のある成功である。

反実仮想は、ソフトウェアの欠陥が存在しない不可能な世界ではない。それは、未知の欠陥がより少ないサービスにしか到達せず、露出した層に保持されるデータが少なく、活動が他の場所でログに記録され、オペレーターがあらゆる重要な交換を停止させることなく Web アクセスを遮断できる環境である。これらの統制は、事前に正確な脆弱性を知っていることに依存しないため、ゼロデイリスクを管理可能にする。

サプライヤーと顧客の責任は異なり、交換可能ではない

「責任の共有」は、いかなる責任も割り当てないために使われるフレーズになりがちだ。MOVEit の記録は、より具体的な配分を支持する。

Progress は、脆弱なコード、セキュア開発の実践、クラウド環境、アドバイザリの内容、サポート対象バージョンのパッチ、アップデートシーケンスの明確さを管理していた。通報を受けた後は、Cloud を停止させるかどうか、また、どれほど迅速に外部の調査員や研究者を関与させるかも管理していた。同社の公開提出書類は、発見後の迅速な封じ込めとパッチ適用を記録している。また、それらは重大な欠陥の存在、その後の欠陥、訴訟、顧客からの請求、規制当局の調査も記録している。両方の部分が評価に含まれなければならない。

オンプレミスのオペレーターは、Transfer が露出しているかどうか、どのようにセグメント化されているか、どのバージョンがデプロイされたままか、緊急パッチがインストール可能か、ログがどのように保持されているか、リポジトリにどれだけのデータが置かれているかを管理していた。5 月 31 日以前に侵害されたオペレーターは、存在しなかったパッチを適用しなかったことで非難されるべきではないが、情報開示とは無関係に存在していた統制、特に保持と証拠の準備については評価されうる。

サービスプロバイダーは、さらなる境界を管理していた。給与計算代行業者、年金データサービス、コンサルタント、政府請負業者は、多くの場合、どのクライアントのファイルが自社のサーバーにあるかを把握していた。彼らは、クライアントの分離、インシデント調査、顧客通知の速度と具体性を管理していた。数週間後に顧客に通知したプロバイダーは、調査の遅延を下流に転嫁した。クライアントの正確なファイルを迅速に特定できたプロバイダーは、その顧客に人々へ正確に通知する機会を与えた。

データを所有する組織は、プロバイダーの選定、共有フィールドの最小化、サプライヤーマップの維持、影響を受けた人々とのコミュニケーションの準備に関する責任を保持していた。「当社のシステムは侵害されていない」は貴重な技術的スコーピングだが、組織のデータが別のシステムに委託されていた場合の完全な説明責任の答えにはならない。CMS、Ofcom、CalPERS はそれぞれ、サプライヤーや転送環境と自社ネットワークを公的に区別しつつ、なお通知措置を講じた。これが正しい概念上の区分である。ネットワークの管理権は変わりうるが、人々に対する義務は消滅しない。

規制当局や公的なサイバー当局は、対応の別の部分を管理した。CISA は、活発な悪用の証拠を連邦政府の修復要件に変換し、インジケーターを共有した。英国 NCSC はガイダンスと報告を調整した。英国金融行動監視機構 (FCA) は、MOVEit に関する声明で、規制対象企業に露出とサードパーティの評価を指示した。プライバシー規制当局は後に、データの取扱いと通知が法的基準を満たしていたかどうかを審査した。これらの機関はプライベートサーバーにパッチを適用することはできなかったが、共通の緊急性を生み出し、事後にガバナンスを評価することはできた。

個人は、インシデント前の状況をほとんど制御できなかった。大多数は MOVEit を選択しておらず、どの処理業者が自分の記録を保持しているかを知らず、転送リポジトリからの削除を要求する能力も持っていなかった。クレジットの監視や識別子の交換といったアドバイスは、通知後の個人的被害を軽減するかもしれないが、それは侵害に対する責任の共有ではない。アーキテクチャ上、契約上、運用上の制御を持つ当事者が、それに対応する義務を負う。

企業の説明責任の記録は、悪用の窓が閉じた後も続いた

Progress の最初の四半期報告書では、4 社の顧客が補償請求の可能性を示唆し、11 件の推定集団訴訟、法執行機関およびプライバシーに関する調査への協力が報告された。2023 年の年次報告書までに、その数と法的複雑性は増大した。同社は、顧客からのレター、個人訴訟、政府の調査、そして 2023 年 10 月の SEC による MOVEit 関連の文書と情報を求める召喚状について開示した。

これらの開示は、主張され調査された責任の証拠ではあるが、すべての申し立てが有効であるという証明ではない。民事訴訟は原告の立場を述べているに過ぎない。SEC の調査は、執行措置の認定ではない。2024 年 8 月、Progress はSEC が執行措置を推奨せずに調査を終了したと発表した。この結果は、一つの規制の分岐を狭めるが、私人間の請求、海外のプライバシー問題、あるいはあらゆる顧客管理の質を決定するものではない。

提出書類の記録は、重要性を文脈に位置づけてもいる。7 月の提出書類によれば、2023 年 5 月 31 日に終了する 6 ヶ月間において、MOVEit Transfer と Cloud は Progress の収益の約 4% を占めていた。Progress は事業を継続し、一方で顧客や個人は分散したインシデントを経験した。ベンダーにおける企業継続性と、ユーザー全体にわたる深刻な損害は共存しうる。一つの発行体に焦点を当てた重要性評価は、システム全体の影響の完全な尺度ではない。

Progress は後に、保険、調査、法務、専門家費用について説明した。これらの数字はベンダーのコストを追跡するのに役立つが、部分的な台帳に過ぎない。Maximus、州政府、学校、年金システム、その他の組織は、独自の調査と通知の費用を負担した。個人は、Progress の声明には現れないリスクを負った。説明責任の分析は、最も目立つ公開企業の計上されたコストを、事象の総損失として扱うことに抵抗すべきである。

公的記録には、ポジティブな対応の証拠も含まれている。Progress は外部企業を関与させ、Cloud をオフラインにし、サポート対象バージョンのパッチをリリースし、CISA や研究者と協力し、更なるコードレビューを実施し、サービスパックプログラムを確立した。ノバスコシア州のような顧客は、窃取の期間が狭く水平移動がなかったことを確認するのに十分な証拠を保全し、詳細な報告書を公表した。これらの行動が重要なのは、説明責任が初期の欠陥に対する非難だけではなく、封じ込め、情報開示、そして学習の質でもあるからだ。

より難しい問いは、その学習が持続可能なものになったかどうかだ。サービスパックのリズム、コードレビュー、サイバーレジリエンスに関する声明はインプットである。より強力な証拠には、測定可能なセキュア開発の変更、パッチ適用状況の可視化、テスト済みの顧客通知カバレッジ、保持に関する製品コントロール、変更に対する独立した保証が含まれるだろう。公開提出書類は必然的に要約となる。将来の調達判断を行う顧客は、危機コミュニケーションから推測するのではなく、現在の統制の証拠を求めるべきである。

防御可能な統制モデルが要求するもの

第一の要件は、マッピングされた信頼境界である。管理された転送のすべてのデプロイメントは、指名されたプロダクトオーナー、オペレーター、データ所有者、サービスプロバイダー、受信者クラスを持つべきである。このマップは、ベンダー運用のクラウド、専用クラウド、オンプレミスインストールを区別すべきである。また、責任がどこで移り変わるか、どの当事者が証拠を保全するかを示すべきである。このマップがなければ、インシデントの最初の数日は、サービスチェーンの発見に費やされる。

第二は、外部と照合された資産目録である。内部の構成記録を、DNS、証明書、インターネットスキャンの観測結果と比較すべきである。差異はチケット化されるべきである。予期せず露出したホスト、時代遅れの証明書、以前の所有者に割り当てられたサービス、承認範囲外の製品フィンガープリントなどだ。目的はスキャンから侵害を証明することではなく、内部ガバナンスが忘れてしまったシステムを見つけ出すことである。

第三は、強制されたデータライフサイクルである。転送フォルダは、受信確認と限定的な例外を伴い、ポリシーに従って期限切れとなるべきである。管理者はデータ所有者ごとに経過期間と容量を確認できるべきである。ビジネスチームは、承認された期間よりも古いファイルのレポートを受け取るべきである。機密性の高いエクスポートは、必要なフィールドのみを含むべきであり、クライアントデータは迅速な範囲特定を支援できるよう十分に分離されるべきである。転送プラットフォームが、容易なアーカイブ手段と化してはならない。

第四は、フォレンジックへの備えである。Web、アプリケーション、データベース、OS、エンドポイント、ネットワークのログは、時刻同期され、一元的に保持され、想定される発見の遅延に見合った期間保護されるべきである。チームは、セッションがどのファイルにアクセスしたかを回答できるかテストすべきである。インシデントプレイブックは、再構築前に証拠を保全し、サプライヤーの連絡先を含め、パッチ適用と過去の調査を区別すべきである。

第五は、緊急時の露出制御である。組織は、重要な転送のために文書化された代替手段を維持しつつ、脆弱なインターフェースをブロックできるべきである。復旧基準には、修復と証拠レビューの両方を含めるべきである。度重なるベンダーパッチは、正確なバージョンとインスタンスによって追跡されるべきである。「最新」にはタイムスタンプが必要である。

第六は、プレッシャー下で機能する通知契約である。プロバイダーは、定められた期間内の初回通知、継続的なアップデート、証拠の保全、クライアント固有のファイルマッピング、独立したフォレンジックサマリーへのアクセスを約束すべきである。データ所有者は、最新の連絡先データと事前承認された通知ワークフローを維持すべきである。サプライヤーの不確実性は、全ファイルのレビューが終わるまで隠されるのではなく、正直に伝達されるべきである。

第七は、集中に比例した保証である。何百もの顧客のデータを移動するプロバイダーは、個々の契約が小さくても、集約リスクを生み出す。調達時には、年間支出額だけでなく、環境を共有するデータセットの数と機密性を評価すべきである。代替手段、セグメンテーション、エグジットプランは、プラットフォームが代替不可能になる前に評価されるべきである。

これらの統制は、CVE-2023-34362 が決して悪用されないことを保証するものではない。それらは結果を変えるだろう。インターネットに面する未知のサービスは減るだろう。利用可能な過去のデータは少なくなるだろう。証拠は存続するだろう。サプライヤーは影響を受けた顧客をより早く特定できるだろう。データ所有者は正確な通知を発行できるだろう。インシデントは依然として深刻だろうが、脆弱性がサービスチェーンに及ぼす影響力は低下するだろう。

最終評価:説明責任は結果を変える能力に従う

2023 年の MOVEit キャンペーンは、プロダクトの脆弱性事象であり、大規模なデータ窃取キャンペーンであり、同時にサプライヤーガバナンスの失敗でもあった。それをこれらの枠組みのいずれか一つに還元すると、説明力を失う。

最も強力な証拠は、高い信頼性を要求される製品における重大な SQL インジェクション欠陥と、同社が運用するクラウドサービスのセキュリティについて、Progress に責任を割り当てるものである。同じ記録は、顧客からの報告によって異常な活動が明らかになると、Progress が迅速に行動したことを示している。同社は調査し、Cloud を停止し、パッチを発行し、顧客に警告し、コードレビューを拡大した。これらは矛盾する調査結果ではない。ベンダーは発見後に効果的な対応をしつつ、なお製品の弱点について、そして開発と保証の実践が改善されたことを証明する責任を負うことができる。

顧客とサービスプロバイダーは CVE-2023-34362 を作り出したわけではない。しかしながら、彼らの統制が露出と損失を決定づけた。ノバスコシア州の調査結果は、この点を極めて具体的にしている。転送の目的を超えてファイルを保持していたことが、侵害を著しく拡大したのだ。Censys の観測結果は、公的な露出が独立して発見されうるが、侵害と同一視できないことを示している。被害者のタイムラインは、パッチ適用によってそれ以上の悪用が止まった一方で、フォレンジックレビューによってパッチ前に何が起きていたかが明らかになったことを示している。サプライヤーからの通知は、説明責任の情報が戻ってくるよりも速く、データが組織の境界を越えて移動していたことを示している。

「数千もの組織」という大見出しは、規模のオーダーとしては真実だが、正しく解釈されなければならない。これは、直接運用されていた MOVEit 環境、専用サービス、請負業者、公的通知や脅威報告を通じて特定された下流の顧客を組み合わせたものであり、同一の証拠を伴う数千もの同一の侵入を意味するわけではない。このキャンペーンの規模は、再利用から生じた。すなわち、インターネットに面した多数のインスタンスにわたる一つの製品と、多数のデータ所有者にわたる一部のインスタンスである。

したがって、永続的な教訓は、単に「より速くパッチを適用せよ」ではない。ゼロデイキャンペーンでは、防御側は窃取の後に動き始めるかもしれない。より優れたテストは、システムが制限付きで失敗するように設計されていたかどうかだ。すなわち、露出の制限、保存データの制限、ネットワーク到達範囲の制限、永続的な証拠、そしてオペレーターからデータ所有者、影響を受けた個人に至る短い経路である。これらが、ソフトウェアの欠陥を、世界的な情報流出の連鎖から封じ込められたインシデントへと変える統制なのだ。

MOVEit は、技術的、契約的、管轄上の境界を越えた。説明責任もまた、薄まることなくそれらを越えるべきだ。ベンダーは製品とその対応について答える。オペレーターはデプロイ、証拠、保持について答える。サービスプロバイダーはクライアントの分離とエスカレーションについて答える。データ所有者は最小化、監督、通知について答える。規制当局はそれらの義務が実質的であったかどうかを検証する。自身の記録がこのシステムを通じて移動させられた人々が、その連鎖を自ら再構築しなければならないようなことがあってはならない。