eSecurity Planetは6月30日(米国時間)、「Half of EDR Tools, Organizations Vulnerable to Clop Ransomware: Research」において、エンドポイント検出応答(EDR: Endpoint Detection and Response)ツールおよび組織の半数近くがClopランサムウェアグループの手口に対して脆弱だと伝えた。セキュリティベンダーであるCymulateが行った調査結果が紹介されており、評価した米国の組織の43%が侵入される可能性があることがわかった。

MOVEitソフトウェアの脆弱性(CVE-2023-34362)を悪用したClop(Cl0pと呼ばれる)ランサムウェアグループに対するセキュリティ管理が適切かどうか、米国の340の組織に対して3000件以上の評価調査が実施されている。組織の管理がClopランサムウェア攻撃のセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を認識できるかどうかテストしたところ、次のような結果が得られたという。

  • 組織に送信した14,438のペイロードのうち、43%がClopランサムウェアの侵入に成功
  • テストしたエンドポイント検出応答(EDR: Endpoint Detection and Response)ツールの普及率は46%以上だった

調査結果から攻撃が実行された場合、攻撃に使われた既知のバイナリをEDRツールが認識できない可能性があると評価している。そのため、EDRツールが侵害の指標を見逃す可能性があると指摘されている。

ClopランサムウェアグループがCVE-2023-34362を悪用し、これまでに数十の主要組織を攻撃していることが確認されている。この脅威は重大な問題とみられており、組織の間で独自のセキュリティ手順や同様のサイバー攻撃に対する脆弱性に懸念が生じている。

Clopランサムウェア攻撃や類似の脅威を踏まえ、米国連邦調査局(FBI: Federal Bureau of Investigation)および米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が組織に対して緩和策を提供している。組織や企業は緩和策を参考にするとともに、リスクを最小限に抑えるためのセキュリティ対策を講じることが望まれている。