この記事のポイント
- CISA の注意喚起文書は、CL0P が 2023年5月末に CVE-2023-34362 を悪用し、LEMURLOOT という不正な管理用スクリプト(ウェブシェル)を使って MOVEit Transfer の基盤からデータを取得したと整理しています。
- Progress のよくある質問文書は、5月31日、6月9日、6月15日に 3 件の別個の脆弱性を公表し、6月16日以前の全バージョンが対策対象で、MOVEit Cloud はベンダー側で修正済みだと説明しています。
- Progress の 10-Q は、23 の顧客などから補償要求、58 件の集団訴訟、専用クラウド顧客 2 社での悪用報告、費用と保険回収まで開示しており、技術対応だけで終わらない事案だったことが分かります。
まず無料で確認する
無料でASM診断を開始
MOVEit Transferで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
MOVEit Transfer 脆弱性で何が起きたのか
この事案は、一社の運用事故というより、広く使われたファイル転送製品の脆弱性が起点になり、その利用先や委託先へ影響が連鎖した事案として読むと全体像をつかみやすくなります。
最初に固定したいのは、MOVEit は製品脆弱性起点の一斉被害だったということです
MOVEit 事案で最初に押さえるべきなのは、一社の社内端末侵害や単独のランサム感染として読むテーマではないという点です。CISA の 2023年6月7日付注意喚起文書は、CL0P が Progress Software のファイル転送管理製品である MOVEit Transfer の SQL インジェクション未公表脆弱性 CVE-2023-34362 を悪用し、LEMURLOOT という不正な管理用スクリプト(ウェブシェル)を設置して基盤データベースからデータを取得したと説明しています。つまり主役は、広く使われた製品の公開面にあった脆弱性です。
そのため本記事でも、主題は「CL0P の脅威解説」や「サプライチェーン攻撃一般論」ではありません。サプライチェーン攻撃の一般論は別記事で扱っていますが、MOVEit で検索している読者が知りたいのは、製品脆弱性がなぜ利用先・委託先へ波及し、なぜ利用先の情報漏えいニュースが一斉に増えたのかです。ここをぶらさずに読むと、既存の事例整理記事とも切り分けやすくなります。
Progress 側の起点は、顧客報告から調査、そして 5月31日の公表です
2023年8月31日付のProgress の 10-Qは、5月28日の夕方に技術サポートが異常活動の初報を受け、5月30日に調査チームが MOVEit Transfer と MOVEit Cloud に影響する未修正脆弱性を確認し、5月31日に公表したと説明しています。ベンダー視点で見ると、ここが顧客報告から製品脆弱性の公表へ切り替わった起点です。
さらに同じ 10-Q は、脆弱性を把握した後にMOVEit Cloud をいったん停止して調査し、既知の現・元顧客へ通知したと説明しています。つまり、MOVEit 事案は脆弱性そのものだけでなく、公表、クラウド停止、顧客通知、修正提供をどれだけ早く回したかも主題に入ります。
時系列で見ると何が順番に分かったのか
MOVEit 事案を短時間で追うなら、5月末の未修正脆弱性の悪用、5月31日の公表、6月2日の既知悪用脆弱性カタログ追加、6月9日と6月15日の追加脆弱性、7月5日のよくある質問文書での整理、8月31日の 10-Q による顧客請求・訴訟・費用影響、2024年8月31日の 10-Q での SEC 調査終了と継続費用、という順で押さえると理解しやすくなります。特に、脆弱性の悪用、公表、追加修正、長期的な法務・費用影響は別の時間軸で続いている点が重要です。
CISA によると、CL0P が未公表の SQL インジェクション脆弱性を悪用し始めた
CISA の 2023年6月7日付注意喚起文書は、オープンソース情報に基づき、5月27日ごろから CL0P が Progress Software の MOVEit Transfer にある未公表の SQL インジェクション脆弱性 CVE-2023-34362 を悪用し始めたと説明しています。ここが、製品脆弱性起点の一斉被害として読むべき最初の地点です。
起点: 5月末にゼロデイ悪用開始Progress が顧客報告を受けて調査し、5月31日に CVE-2023-34362 を公表
2023年8月31日付の Progress 10-Q は、5月28日の夕方に技術サポートが異常活動の連絡を受け、5月30日に調査チームが MOVEit Transfer と MOVEit Cloud に影響するゼロデイ脆弱性を把握し、5月31日に公表したと説明しています。Progress 側の起点は、顧客報告から調査と公表へつなげたこの流れです。
初報: 顧客報告から公表へCISA が既知悪用脆弱性カタログへ追加し、未修正環境の一斉悪用を警戒
CISA の注意喚起文書は、CISA が 6月2日に CVE-2023-34362 を既知悪用脆弱性カタログへ追加したと説明しています。FBI と CISA は、TA505 / CL0P の過去の活動も踏まえ、未修正のソフトウェアが民間・公共ネットワークで広く悪用される可能性を見込んでいました。
警戒: 既知悪用脆弱性へ追加Progress が追加脆弱性 CVE-2023-35036 と CVE-2023-35708 を公表
Progress の 2023年7月5日付よくある質問文書は、5月31日から6月16日の間に 3 件の別個の脆弱性が報告され、6月9日に CVE-2023-35036、6月15日に CVE-2023-35708 を公表したと整理しています。MOVEit は単一の穴で終わらず、追加脆弱性も含めた連続対応になりました。
追加: 3件の脆弱性対応へ拡大よくある質問文書で全バージョン対応、MOVEit Cloud への修正、サービスパック方針を公表
7月5日付のよくある質問文書は、6月16日より前の全バージョンが脆弱であり、MOVEit Cloud 側は Progress が修正済み、MOVEit Transfer 顧客にもパッチを提供済みで、今後はサービスパックを定期提供すると説明しています。ここで初めて、製品側の恒常的な更新体制まで触れられています。
整理: 修正と更新方針を明文化10-Q で顧客請求、訴訟、費用、専用クラウド環境への影響を開示
2023年8月31日付 10-Q では、23 の顧客などから影響通知や補償要求を受け、58 件の集団訴訟に当事者として関わり、関連費用は保険回収見込み差引後で 100 万ドル、MOVEit 専用クラウド顧客 2 社で悪用報告があった一方、公開 MOVEit Cloud インスタンスからは機微データ流出の証拠を把握していないと説明しています。
後続: 法務・費用・顧客影響が表面化SEC 調査終了と継続費用を 2024年の 10-Q で説明
2024年8月31日付 10-Q では、SEC が 2024年8月7日付で事実確認調査を終え、執行措置を勧告しないと通知した一方、MOVEit 関連費用は 2024年8月31日までの 9 か月累計で 500 万ドル、保険回収は 500 万ドルと説明しています。脆弱性対応は 2023年夏で終わらず、費用と対外対応は長く残りました。
長期化: 規制・費用影響が継続6月前半は『一つの穴』ではなく『追加修正が続いた局面』です
MOVEit を単に「5月31日の脆弱性」として理解すると、あとで出た追加修正を見落とします。Progress の 7月5日付よくある質問文書は、5月31日の CVE-2023-34362、6月9日の CVE-2023-35036、6月15日の CVE-2023-35708 の3 件の脆弱性をまとめて整理しています。読者向けには、これを「最初の穴に加えて、短期間に追加修正が必要だった」と読む方が実務に落ちます。
しかもこの文書は、6月16日より前の全バージョンが対象であり、MOVEit Cloud は Progress 側が修正し、MOVEit Transfer 顧客は緩和策とパッチ適用を行う必要があると説明しています。つまり、公表後すぐに『何もしていない既存環境』をそのまま置ける事案ではなかったと言えます。
8月末以降は、被害範囲より『長く残る影響』が見えてきます
8月31日の 10-Q は、23 の顧客などから文書による補償要求を受け、58 件の集団訴訟に当事者として関わっていると説明しています。ここで読み取れるのは、技術修正と情報漏えい対応が終わっても、補償、訴訟、規制対応は長く残るという点です。
しかも、この長期化は製品そのものの修正とは別の時間軸で進みます。利用企業側では、どのファイルが持ち出された可能性があるか、取引先へどこまで説明するか、法務と広報をいつ動かすかが続きます。製品脆弱性を塞いだ後も判断が終わらない、という意味で MOVEit は典型的な長期対応事案でした。
さらに 2024年8月31日付の 10-Q では、SEC が 2024年8月7日付で執行措置を勧告しないと通知した一方、費用はなお継続していると説明しています。したがって、この事案は「2023年6月のパッチで終了」とは言えず、公開対応と経営影響が年単位で残る事例として読む必要があります。
なぜ利用先・委託先へ被害が広がったのか
| 論点 | 公式資料で確認できること | 読み方のポイント |
|---|---|---|
| 侵入口 | CISA は CVE-2023-34362 を SQL インジェクションの未修正脆弱性と整理 | 利用先の設定ミスではなく、公開アプリケーションの脆弱性が起点です。 |
| 攻撃後の動き | CISA は LEMURLOOT という不正な管理用スクリプトによりデータ取得や管理操作が可能だったと説明 | 単なる侵入確認ではなく、データ取得に直結する仕組みが置かれました。 |
| 影響の広がり | 製品利用先の環境からデータが取られ、Progress は 23 の顧客などから補償要求を受領 | 被害ニュースが連鎖したのは、利用先ごとに漏えい判断が発生したためです。 |
| クラウド側の整理 | Progress は共有型 MOVEit Cloud からは機微データ流出証拠なし、専用クラウド 2 顧客で悪用報告ありと開示 | クラウド全面流出ではなく、共有型 / 専用型を分けて読む必要があります。 |
| 追加対応 | FAQ は 3 件の脆弱性、全バージョン対応、サービスパックの定期化を明示 | 一度の臨時パッチではなく、継続的な更新運用が論点です。 |
被害が広がった理由は、製品が『複数社のファイル受け渡しの接点』だったからです
MOVEit はファイル転送管理製品、つまり企業や組織が外部とのファイル受け渡しを集中管理する接点として使われます。そのため、公開面にある製品脆弱性が悪用されると、被害はベンダー一社の中だけで閉じません。CISA が「MOVEit Transfer の基盤データベースからデータ窃取が行われた」と書いているのは、まさにファイル受け渡し基盤が、そのまま利用先側の情報流出起点になり得ることを示しています。
ここが、単独企業の情報漏えい事案と MOVEit の違いです。検索者が見かけるニュースは個々の利用企業名ですが、主役は個別企業ではなく共通製品の公開面です。だからこそ本記事でも、被害企業一覧を並べるより、なぜ利用先の公表が次々と増えたのかを前に出しています。
共有型クラウドと専用クラウドを分けて読むと、誤解が減ります
10-Q で Progress は、共有型の MOVEit Cloud からは機微な顧客データの流出証拠を把握していない一方で、専用クラウド型の MOVEit Cloud 顧客 2 社では悪用報告があったと書いています。つまり、「MOVEit Cloud も全部同じようにやられた」とまとめるのは雑です。
この区別は実務でも重要です。クラウド型サービスを読むときは、共有基盤なのか、顧客専用環境なのか、公開面はどこか、誰がパッチ適用責任を持つのかを分けて確認しないと、対応優先度を誤りやすくなります。SaaS ベンダーリスク管理とつながる論点ですが、MOVEit では一般論よりまず公式の切り分けを押さえる方が先です。
この事案をどう実務へ落とし込むか
公開中のファイル転送製品や転送用ポータルを棚卸しし、公開面とパッチ適用責任を明確にする
MOVEit の主役は公開アプリケーションの脆弱性であり、どこが外へ出ているかの把握が最初の前提になるためです。
単発のパッチだけで終わらせず、サービスパックや追加脆弱性情報の追跡手順を作る
Progress は 5月31日から6月15日にかけて追加脆弱性を公表しており、一回の臨時対応では足りなかったためです。
共有型クラウドと専用クラウド、オンプレミスの責任分界を契約と運用で切り分ける
Progress 自身が共有型 / 専用型で影響の書き方を分けており、クラウドだから一律ではないためです。
漏えい公表、補償、規制照会まで見据えた説明文書を先に用意する
23 の顧客請求、58 件の集団訴訟、SEC 照会のように、技術封じ込め後も対外対応が続くためです。
MOVEit は『脆弱性管理』だけでなく『公開接点管理』の話でもあります
この事案を単に「パッチを急げ」で終わらせると、次に何を見直すかが曖昧になります。実務的には、どのファイル転送基盤が外部公開され、誰が修正責任を持ち、利用先へどう説明するかの 3 点をそろえて読む必要があります。特に、ファイル受け渡し基盤は社内から見えにくくても、外部との実データ接点になりやすいので、放置時の影響が大きくなります。
そのため MOVEit 記事の結論も、製品名だけ覚えることではありません。セキュリティレポート雛形や外部公開資産台帳のように、公開接点、責任分界、利用先説明を一枚で整理する運用へ落とす方が、次に似た事案が出たときに効きます。
MOVEit事案が長引いた理由
一度の緊急パッチで終わらず、追加脆弱性対応が続きました
MOVEit 事案が長く語られる理由の一つは、5月31日の公表と修正だけで完了しなかったことです。6月9日と 6 月 15 日に追加脆弱性が公表され、Progress は 7 月 5 日の FAQ でようやく全体像をまとめています。利用企業の立場では、最初の緊急対応のあとも、追加修正と情報更新を追い続ける必要があったということです。
これは一般的な脆弱性管理でも重要な論点です。最初の CVE だけを追って終えるのではなく、同じ製品群に追加情報が出たときにどこまで追随できるかが、実際の安全性を左右します。MOVEit は、その難しさが非常に分かりやすく表れた事例でした。
とくに公開中の業務製品では、最初の注意喚起が出た時点で一度運用を切り替え、その後の追加公表でもう一度確認し直す必要があります。MOVEit は、脆弱性情報の追跡を「その日だけの対応」で終わらせると危険だという教訓を、かなり強く示した事案でした。
利用企業の実務では、これに加えて「いま外から届く MOVEit 関連の公開面が何本あるか」を把握できているかが問われます。追加脆弱性が続く局面では、対象ホスト名、公開 URL、委託先向け接続点をすぐ列挙できる組織ほど、封じ込めと対外説明を速く進めやすくなります。
つまり MOVEit が長引いた理由は、脆弱性そのものだけでなく、公開面の把握、追加情報の追跡、利用先説明を同時に回す必要があったからです。ここまで含めて初めて、事案の重さが見えてきます。
製品脆弱性の事案は、修正を当てた瞬間では終わりません。公開接点の再確認と利用先説明まで終えて初めて、一段落したと言えます。
利用企業ごとに通知・補償・説明の負荷が発生しました
Progress の 10-Q が 23 の顧客などから補償要求を受け、58 件の集団訴訟に関わっていると述べているのは、技術対応が終わっても、利用企業単位の説明責任が続くことを示しています。MOVEit のような製品脆弱性事案では、ベンダーの公表だけで完結せず、各利用企業が自社顧客や取引先への通知判断を迫られます。
その結果、検索結果には多くの利用企業名が並びますが、実務的に重要なのは「個々の社名一覧」よりも、一つの共通脆弱性が、利用企業ごとの通知、補償、訴訟、規制対応へ分岐したという構図です。この構図があるからこそ、MOVEit はサプライチェーン事案として記憶され続けています。
したがって MOVEit を学ぶ意味は、単に「有名な脆弱性だった」と知ることではありません。製品脆弱性が発生したとき、利用企業側でも通知、補償、契約確認、規制照会への備えが必要になることを、具体的に理解できる点にあります。
共通製品の脆弱性が利用先側へどう波及するかを考えるうえでも、MOVEit は典型例です。製品名を覚えることより、「ベンダー公表の後に利用企業側で何が始まるか」を理解しておく方が、次の類似事案に備えやすくなります。
共有型・専用型・オンプレミスで責任分界が違いました
さらに難しかったのは、共有型 MOVEit Cloud、専用クラウド、オンプレミス環境で、修正責任と説明責任の重なり方が違ったことです。共有型では Progress 側の修正と確認が中心になりますが、専用クラウドやオンプレミスでは、顧客側の確認、周辺公開面の棚卸し、通知判断が大きくなります。
そのため、この事案の教訓は「クラウドだからベンダー任せ」「オンプレミスだから利用企業だけの責任」と単純化しないことです。どこまでがベンダーの対応範囲で、どこからが自社の公開面管理や対外説明の責任なのかを、契約と運用の両方で持っていないと、同じような事案が起きたときに対応が遅れます。
加えて、公開中のファイル転送基盤は普段は目立たないため、経営層や事業部門の認識から外れやすい傾向があります。MOVEit のような事案が長引くのは、技術面の修正だけでなく、どの公開接点が事業や委託先接続にひも付き、どこまで説明責任が発生するかを、あとから組織全体で追いかける必要があるからです。
利用企業側の初動は、公開面と説明責任の確認から始まります
MOVEit のような製品脆弱性事案では、ベンダーの修正情報を読むだけでは初動が終わりません。利用企業側では、自社のどのホストが外部公開されているか、どの委託先とデータをやり取りしていたか、どの契約で通知義務があるかを、かなり短時間で確認する必要があります。ここが遅れると、技術面の封じ込めが進んでも対外説明が追いつきません。
そのため実務では、ファイル転送基盤を持つ組織ほど、平時から公開 URL、転送ポータル、委託先向け接続点、責任部署を一覧化しておく価値があります。MOVEit 事案は、公開接点の棚卸しと説明責任の整理が、脆弱性管理の補助ではなく中核作業になることを示した事例です。
言い換えると、MOVEit を学ぶ意味は「脆弱性の名前」を覚えることではありません。共通製品の脆弱性が出たとき、自社の公開面、委託先接続、通知義務、利用者説明をどう同時に動かすかを考えることにあります。そこまで含めると、この事案の教訓はかなり実務的になります。
しかもファイル転送基盤は、平時には目立たず、事業部門から見ると「ただの受け渡し箱」に見えやすい領域です。しかし実際には、委託先接続、業務データ、顧客データ、公開 URL が集中するため、一度問題が起きると影響確認の手間が非常に大きくなります。MOVEit 事案は、その見えにくい基盤を平時から台帳化し、公開接点と責任部署をつないでおく必要性を強く示した事例です。
ファイル転送基盤を抱える組織ほど、脆弱性情報の追跡担当と、公開面や利用先説明を担う担当を分断しない方が安全です。MOVEit は、その連携が遅れると事後対応全体が長引くことを、かなり分かりやすく示しました。
つまり MOVEit は、技術対応と説明対応を別物として扱えない事案だったと言えます。
そこが、長期化した理由を理解するうえで重要です。
MOVEit は、その連鎖をかなり明瞭に示した事例でした。
だからこそ、公開接点と説明責任を平時から結び付けておく必要があります。
その準備が、事後対応の速さを左右します。
ここは平時から整えておくべきです。
その前提がないと、封じ込めと説明がずれやすくなります。
重要な前提です。
事案後の公開導線整理なら ASM診断 PRO
ASM診断 PRO は、脆弱性スキャナやファイル転送製品の代替ではありません。ただし、事案後に外から見えている転送ポータル、古い連携用URL、公開ドキュメント、閉じたはずのサブドメインを洗い出し、どこから説明や是正を始めるべきかを整理する入口としては使いやすい構成です。
特に MOVEit のように、利用企業ごとに公表判断が発生する事案では、内部のパッチ管理だけでなく、外から見えている公開接点が残っていないかを合わせて見た方が、説明責任と再発防止の優先順位をつけやすくなります。アタックサーフェス整理や外部公開資産台帳と組み合わせると、脆弱性事案後の棚卸しを具体化しやすくなります。
とくにファイル転送基盤は、利用者から見えにくい一方で、実際にはドキュメント配布ページ、アップロード用 URL、委託先向け接続点、古い転送ホスト名が残りやすい領域です。内部の是正と並行して公開面を洗うと、どの説明が必要で、どの接点を止めるべきかが見えやすくなります。MOVEit のような事案では、この整理を後回しにしない方が実務に合います。
事案後に「パッチは当てたが、どの公開導線を閉じたか説明できない」状態を避けたいなら、外部観点での棚卸しを早めに始める方が安全です。公開接点の再確認は、技術対応の代替ではありませんが、利用先説明と再発防止の優先順位を整えるうえではかなり実務的な補助線になります。
事案後の公開面を点検する
読み終えたら、無料でASM診断を開始
公開された転送ポータル、古い公開ドキュメント、不要な管理画面や残存サブドメインを洗い出し、脆弱性事案後の説明と是正優先度の整理に役立ててください。
よくある質問(FAQ)
MOVEit Transfer の脆弱性は何が問題だったのですか?
CISA の注意喚起文書は、CVE-2023-34362 が SQL インジェクションの未修正脆弱性であり、CL0P が LEMURLOOT という不正な管理用スクリプトを設置してデータ取得に使ったと説明しています。つまり、公開アプリケーションの脆弱性が、そのままデータ取得へ直結した点が核心です。
なぜ被害が世界中へ広がったのですか?
MOVEit は多くの組織で外部とのファイル受け渡し基盤として使われていたためです。共通製品の公開面にある脆弱性が悪用されると、利用先ごとに情報漏えい判断や公表が発生し、被害ニュースが連鎖しやすくなります。
MOVEit Cloud も影響を受けたのですか?
はい。Progress の 10-Q は、MOVEit Transfer と MOVEit Cloud の両方に影響する脆弱性を把握したと説明しています。ただし共有型 MOVEit Cloud からは機微データ流出の証拠を把握していない一方、専用クラウド顧客 2 社で悪用報告があったとしており、クラウド全面一律ではありません。
Progress は追加脆弱性にどう対応したのですか?
7月5日付 FAQ によると、Progress は 5月31日、6月9日、6月15日に 3 件の脆弱性を公表し、MOVEit Cloud を修正し、MOVEit Transfer 顧客にパッチを提供しました。さらにサービスパックを定期的に出す運用へ切り替えると説明しています。
この事案から企業側が優先して見直す点は何ですか?
公開中のファイル転送基盤の棚卸し、パッチ適用責任の明確化、共有型クラウド / 専用クラウド / オンプレミスの責任分界、そして漏えい公表や利用先説明の準備です。特に、外部とのファイル受け渡し接点は業務上の重要度が高いため、公開面の整理と説明文書の整備を先に進めた方が安全です。
まとめ
この事案は、未修正脆弱性の悪用、追加脆弱性、パッチ、利用先への波及、長期的な法務・費用影響を分けて読むと、単なる製品名ニュースではなく実務に落とし込みやすい事例として理解できます。
MOVEit Transfer 事案の主役は、一社の単独事故ではなく、広く使われたファイル転送製品の公開面にあった脆弱性でした。5月末の未修正脆弱性の悪用、6月前半の追加脆弱性、7月の FAQ による整理、8月末以降の訴訟・補償・規制対応までを並べると、製品脆弱性が利用先への被害へ連鎖し、長期の対外対応へ続く構図が見えてきます。
- MOVEit は単独企業の端末侵害ではなく、製品脆弱性起点の一斉被害として読むべきです
- CISA は CVE-2023-34362 の未修正脆弱性の悪用と LEMURLOOT という不正な管理用スクリプトを整理しています
- Progress は 5月31日から6月15日にかけて 3 件の脆弱性対応を続け、サービスパック体制を定期化しました
- 共有型クラウドと専用クラウドの影響は分けて読む必要があります
- 技術修正後も、補償、訴訟、規制照会、費用影響は長く残ります
まずは公式の時系列と責任分界を固定し、そのうえでセキュリティレポート雛形や外部公開資産台帳へ落とし込んで、自社の公開接点、パッチ適用責任、利用先説明の整理へつなげてください。
MOVEit 事案を実務へ生かすなら、追加脆弱性が続く前提で情報追跡を行うこと、共有型・専用型・オンプレミスの責任分界を分けて確認すること、そして利用企業ごとの通知や補償対応が長く残ることを前提に準備することが重要です。単なる製品名の記憶ではなく、公開接点、対外説明、継続更新の難しさまで含めて整理すると、次の類似事案にも応用しやすくなります。
製品脆弱性の情報を追う担当と、公開面や利用先説明を担う担当が分かれている組織ほど、平時から接点をそろえておく価値があります。MOVEit は、その連携が遅れると事案全体が長引くことを示した教材としても有用です。
公開中のファイル転送基盤を持つ組織なら、技術修正だけでなく「いま外から見える接点」と「誰が説明責任を負うか」を同時に整理しておくことが重要です。MOVEit 事案は、その準備が不十分だと対応が長期化しやすいことを示しています。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
CISA の 2023年6月7日付注意喚起文書として、5月27日ごろからの未修正脆弱性の悪用、CVE-2023-34362、LEMURLOOT という不正な管理用スクリプト、既知悪用脆弱性カタログへの追加、一斉悪用の見立てを確認するために参照しました。
Progress の 2023年7月5日付パッチFAQとして、5月31日、6月9日、6月15日の 3 件の脆弱性、全バージョン対応、MOVEit Cloud 修正、サービスパック方針を確認するために参照しました。
Progress Software Corporation Quarterly Report on Form 10-Q for the quarter ended August 31, 2023
2023年8月31日付 10-Q として、5月28日から5月31日までの初動、顧客通知、共有型クラウドと専用クラウドの切り分け、23 の顧客などからの補償要求、58 件の集団訴訟、費用影響を確認するために参照しました。
Progress Software Corporation Quarterly Report on Form 10-Q for the quarter ended August 31, 2024
2024年8月31日付 10-Q として、SEC 調査の終了、継続費用、保険回収の進捗を確認するために参照しました。