Bleeping Computerは10月4日(米国時間)、「Sony confirms data breach impacting thousands in the U.S.」において、ソニーグループ傘下のソニー・インタラクティブエンタテインメント(SIE)がランサムウェアグループ「Cl0p」の攻撃を受け、同社から個人情報が流出したと報じた。
流出したデータはSIEの従業員および元従業員とその家族6,791人分の個人情報とみられている。SIEが被害に遭った家族などに通知した内容によると、Progress Software製マネージドファイル転送ソフトウェアのMOVEit Transferの脆弱性が悪用され、MOVEitプラットフォームに保存していたファイルが窃取されたという。MOVEit Transferによる情報流出の被害は、これまでにも複数確認されている(参考:「カナダの医療機関から子供の健康情報が流出、被害は全米の学校にも | TECH+(テックプラス)」)。
この脆弱性については、Progress Softwareから脆弱性を修正したService Packが提供されている(参考:「Progress Software、脆弱性対応としてMOVEit Transferの新Service Packリリース | TECH+(テックプラス)」)。
SIEは通知において、この攻撃は2023年5月28日(米国時間)に発生し、問題を認識した2023年6月2日にプラットフォームをオフラインにして脆弱性を修正したとしている。その後、外部のサイバーセキュリティ専門家の支援を受けて調査が開始され、警察へ通報したという。同社は同件の影響はMOVEitプラットフォームに限定されており、他のシステムへの影響はないとしている。