事故図鑑

重大CVSS9.8#SQLインジェクション #サプライチェーン #ランサムウェア #パッチ管理

MOVEit 大規模情報漏えい（2023）— SQLインジェクションのゼロデイが2,700社超に波及した原因と防御

2023年、ファイル転送製品 MOVEit Transfer のSQLインジェクションのゼロデイ（CVE-2023-34362）をCl0pが悪用し、2,700社超・約9,330万人分のデータが盗まれました。多くの被害者は『自分が使っていなくても委託先経由で』巻き込まれた点が教訓です。攻撃の連鎖を防御の地図として分解し、あなたの環境での再発防止（KEV即時パッチ・公開面の最小化・Web↔DB最小権限・委託先の棚卸し）を、公開記録の事実だけにもとづいて解説します。

公開日 2026-06-12 更新日 2026-06-12 14分で読める

実際に起きた公開事故を、ニュースの再放送ではなく 「あなたの環境でどう防ぐか」 の視点で読み解きます。本記事は 公開記録（当局・ベンダー公式・脅威インテリジェンス・報道）にもとづく解説です。出典は末尾に明記し、攻撃の再現手順やペイロードは扱いません。

結論：公開された1つのSQLi欠陥が、委託先を介して数千社に広がった

2023年5月、ファイル転送製品 MOVEit Transfer にあった未知の SQLインジェクションの脆弱性（CVE-2023-34362・CVSS 9.8）を、攻撃グループ Cl0p がパッチ公開前に大量悪用しました。インターネットに公開された製品にWeb shell（不正な遠隔操作プログラム）が仕込まれ、背後のデータベースから保管情報が一括窃取され、最終的に 2,700社超・約9,330万人分のデータ流出につながりました。教訓は2つ。(1) インターネット公開の「便利な受け渡し装置」は最優先の標的で、ゼロデイ＋出遅れたパッチは致命傷になる。(2) 被害者の多くは自分が使っていなくても、委託先がMOVEitを使っていたために巻き込まれた——あなたのデータの安全は、預けた相手の運用にも依存する。

2,700+

影響を受けた組織

9,330万

影響を受けた個人（推計）

9.8

CVE-2023-34362 のCVSS

ゼロデイ

パッチ公開前に大量悪用

事故サマリー / CASE FILE

対象: MOVEit Transfer（Progress Software 製のファイル転送製品）とその利用組織・委託元
悪用開始: 2023年5月27日ごろ（米メモリアルデー連休）
手口分類: 公開WebアプリのSQLインジェクションゼロデイ → Web shell設置 → 背後DBからのデータ窃取と恐喝
影響規模: 2,700社超・約9,330万人分（後の推計ではさらに増加）
根本原因: 未知のSQLi欠陥＋パッチ前の大量悪用＋ Web層から背後DBを広く読めた構成＋委託先経由の波及
本命の対策: KEV即時パッチ・公開面の最小化・Web↔DBの最小権限と分離・委託先の棚卸しとデータ最小化

何が起きたか（平易に）

MOVEit Transfer は、組織間でファイルを安全に受け渡すための製品で、多くの組織がインターネットに公開して使っていました。その公開されたWeb画面に、入力がデータベースへの命令を書き換えてしまう SQLインジェクションのゼロデイ欠陥がありました。

攻撃者 Cl0p は、修正が出る前にこの欠陥を悪用して、公開されたMOVEitに Web shell（外部から遠隔操作するための不正なプログラム。公開記録では「LEMURLOOT」と名付けられた） を仕込みました。これにより、製品の背後にあるデータベースに保管されていたファイルや利用者の情報を一括で読み出し、外部へ持ち出しました。その後、Cl0p はリークサイトで犯行を主張し、データを公開すると脅して身代金を要求しました。

“ファイル受け渡し装置”は、攻撃者にとって宝の地図

ファイル転送製品は、性質上多くの組織の機微なデータが集まるうえ、業務上インターネットに公開されがちです。攻撃者から見れば「1つ破れば大量のデータに届く」高価値の標的。だからこの種の公開装置は、ゼロデイが出た瞬間に真っ先に狙われる前提で守る必要があります。

攻撃の連鎖は「防御の地図」でもある

重要なのは、これが4つのホップの連鎖で、各ホップに止め所があったことです。攻撃手順ではなく、どこで断ち切れたかとして読んでください。

① 入口：公開WebアプリのSQLiゼロデイ

インターネット公開の画面に未知のSQLインジェクション欠陥。

⊘ 止め所：公開面の最小化（VPN/IP制限の背後へ）

↓

② Web shell の設置

欠陥を足がかりに遠隔操作プログラムを仕込まれる。

⊘ 止め所：KEV即時パッチ（悪用中の穴を数時間〜数日で閉じる）

↓

③ 背後DBからデータ窃取

Web層から背後DBの保管情報を一括読み出し。

⊘ 止め所：Web↔DBの最小権限・分離・大量読み出しの検知

↓

④ 委託先を介して数千社に波及

MOVEitを使う委託先・事業者から、その顧客のデータへ。

⊘ 止め所：委託先の棚卸し＋預けるデータの最小化

連鎖の各段で“止められた”。多層防御とは、1枚の壁ではなくこの止め所を複数持つこと。

公表された時系列

2023-05-27
Cl0p によるMOVEit Transferのゼロデイ大量悪用が始まる（米メモリアルデー連休）。
2023-05-31
Progress Software が CVE-2023-34362 を公表し、緊急パッチを公開。
2023-06-02
CISA が CVE-2023-34362 を KEV（悪用中の脆弱性カタログ）に追加。
2023-06-06
Cl0p がリークサイトで犯行を主張し、恐喝を開始。
2023-06-07
CISA/FBI が #StopRansomware 共同アドバイザリ（AA23-158A）を公開。
2023〜
被害組織の数・影響人数が継続的に増加（委託先経由の波及が判明）。

根本原因は「1つのミス」ではなく層の崩れ

この事故を「MOVEitのバグのせい」で片付けると、再発します。実際には複数の層が連続して崩れたのが本質です。

崩れていた構成（事故時）

機微データの集まる装置をインターネットに広く公開
ゼロデイ＋パッチ前の窓に大量悪用された
Web層から背後DBを広く読める構成（分離・権限が甘い）
預け先（委託先）の運用が見えず、波及を止められない

守られた構成（再発防止）

公開面を最小化（VPN/IP制限の背後・不要機能は閉じる）
KEV即時パッチ運用（悪用中の穴を最優先で当てる）
Web↔DBを分離・最小権限＋大量読み出しの検知
委託先の棚卸し＋預けるデータの最小化で爆発半径を縮小

サプライチェーン：あなたの安全は“預けた相手の運用”にも依存する

この事故の最大の特徴は、被害者の多くがMOVEitを自分で使っていなかったことです。給与・年金・保険などのデータを預けた委託先や事業者がMOVEitを使っていたために、その顧客が芋づる式に巻き込まれました（→ 同じ構図は Codecov のサプライチェーン事故でも）。だからデータを外部に預けるときは、「相手はどんな脆弱性運用をしているか」と「そもそも預ける必要があるデータか」の両方を問うべきです。

あなたの環境での再発防止

規模を問わず効く、優先順の対策です。「インターネットに公開した管理画面・ファイル受け渡し」「外部にデータを預ける関係」が1つでもあるなら、自分ごとです。

公開面を最小化する（攻撃の的を減らす）

管理用・ファイル受け渡し用の機能は、可能な限りインターネットに直接公開しない。VPNやIP許可リストの背後に置き、不要な機能・古い装置は閉じる/隔離する。攻撃者が触れられる面を減らすのが最初の一手。

KEVに載ったら最優先で当てる（即時パッチ運用）

**悪用中の脆弱性（KEV）**に自分の使う製品が載ったら、数時間〜数日で当てる運用にする。ゼロデイは防げなくても、パッチ後の窓を一気に閉じることで被害の大半を避けられる（→ 脆弱性対応の実務・速報の脆弱性アラート）。

Webアプリと背後DBを分離し、最小権限にする

公開Webアプリが破られても被害を閉じ込めるため、Web層から背後DBの全件を読めないよう権限を絞り、ネットワークを分離する。SQLi対策の本命はプレースホルダだが、万一に備えた分離と最小権限が爆発半径を縮める。

委託先を棚卸しし、預けるデータを最小化する

自分のデータを預けている相手（委託先・SaaS・事業者）を一覧化し、重大事故時の連絡経路を持つ。そしてそもそも預けるデータを最小限にする——渡していないデータは、相手が破られても漏れない。

当サイトの設計思想と重なる点

当サイト自身も、公開面を最小化し、悪用中の脆弱性（KEV）を機械監視して即時に当てる運用を土台にしています（→ 自前の依存監査と脆弱性フィード）。この事故は、私たちが製品で守っている原則——公開する面を絞る・KEVを最優先で潰す・層を分けて爆発半径を縮める・預けるデータを最小化する——が、なぜ必要かを最も雄弁に語る実例です。ゼロデイそのものは避けられなくても、パッチ後の窓を一気に閉じる運用と破られても被害を閉じ込める設計は、規模を問わず誰でも実装できます。

出典（公開記録）

本記事の事実は、以下の公開情報にもとづきます。攻撃の再現手順やペイロードは扱わず、防御の教訓に絞っています。

CISA / FBI「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」(AA23-158A, 2023) — cisa.gov
Progress Software 公式アドバイザリ「MOVEit Transfer Critical Vulnerability (CVE-2023-34362)」(2023) — community.progress.com
Mandiant (Google Cloud)「Zero-Day Vulnerability in MOVEit Transfer Exploited for Data Theft」(2023) — cloud.google.com
Rapid7「CVE-2023-34362: MOVEit Vulnerability Timeline of Events」(2023) — rapid7.com

次に読む

よくある質問

QMOVEit事故の根本原因は何ですか？

インターネットに公開されていたファイル転送製品 MOVEit Transfer に、未知（ゼロデイ）のSQLインジェクションの脆弱性（CVE-2023-34362）があったことです。攻撃者はこれを悪用してWeb shell（不正な遠隔操作プログラム）を仕込み、製品の背後にあるデータベースから保管中のファイル情報を一括で盗み出しました。パッチ公開前に大量悪用された点と、Webアプリから背後DBを丸ごと読めてしまった点が重なっています。

Q自分はMOVEitを使っていないのに、なぜ関係があるのですか？

多くの被害者は、自分がMOVEitを使っていたのではなく、データを預けた委託先・取引先・サービス事業者がMOVEitを使っていたために間接的に巻き込まれました。これは『サプライチェーン経由の漏えい』の典型で、あなたのデータの安全は、それを預けた相手のパッチ運用にも依存することを示しています。委託先の棚卸しと、そもそも預けるデータを最小化する設計が効きます。

Q小規模なサービスでも学べることはありますか？

あります。①インターネットに公開する管理用・ファイル受け渡し用の機能は攻撃者の主要な標的なので、公開面を最小化し、KEV（悪用中の脆弱性）に載ったら数時間〜数日で当てる運用にする。②Webアプリの背後のDBは、Web層から全件を読めないよう権限を絞り分離する。③外部に渡すデータは最小限に。これらは規模を問わず有効です。