富士フイルムにランサムウェア攻撃の「可能性」 「REvil」と連携する「Qbot」に先月感染との情報も | ウィークリー・サイバーダイジェスト – 2021年5月28日〜6月3日 | セキュリティ情報専門サイト|Codebook by Machina Record

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

セキュリティ情報専門サイト|Codebook by Machina Record > Articles > NEWS > 富士フイルムにランサムウェア攻撃の「可能性」 「REvil」と連携する「Qbot」に先月感染との情報も | ウィークリー・サイバーダイジェスト – 2021年5月28日〜6月3日

富士フイルムにランサムウェア攻撃の「可能性」 「REvil」と連携する「Qbot」に先月感染との情報も | ウィークリー・サイバーダイジェスト – 2021年5月28日〜6月3日

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

 

以下、翻訳です。

 

2021年6月3日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く、オープンソース・ダークウェブ上で言及されたプロダクトを示しています。

 

 

データ流出

今週報告されたデータ流出の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

 

日本

富士フイルム

この企業は、2021年6月1日に東京本社がランサムウェア攻撃を受けた可能性があることを公表した。同社は、ネットワークを部分的に停止し、外部との通信を遮断することを選択した。このインシデントは、 Fujifilm USAのEメールおよび電話システムにも影響を与えた。Advanced Intel のVitali Kremez氏は、富士フイルムが先月、ランサムウェアに先行する場合が多いトロイの木馬「Qbot」に感染していたと述べた。

*(訳註)このインシデントについては本ブログの後半でより詳しく取り上げられています。

 

米国

Union Community 学区

2021年5月28日、「DoppelPaymer」ランサムウェアのオペレーターが、現在および過去の従業員や学生の個人情報を含む2GBのファイルをダンプした。従業員データには、個人の住所、電話番号、パートナーの名前、生年月日、社会保障番号などが含まれている。学生データの中には、氏名、生年月日、住所などが掲載された2003年から2019年の間に卒業した学生の成績証明書がある。

 

20/20 Eye Care Network

この企業は、20/20 Hearing Care Network とともに、両社のAWS環境において2021年1月11日に不審な活動があったことを発見した。調査の結果、同社のS3バケットに保存されていたすべてのデータが除去され、その後消去された可能性があることが判明した。バケットに保存されていたデータには、氏名、住所、社会保障番号、会員識別番号、生年月日、医療保険情報などが含まれていた。(3,253,822)

 

Cheetah Digital

Comparitechの研究者は、このソフトウェアプロバイダーが所有する、パスワードなしでアクセス可能なEメールサーバーを発見した。このサーバーには、マーケティング・コミュニケーションを定期購入していたBritish Gas社の顧客の約360万件のEメールアドレスを含む、18,065,470件の記録が含まれていた。

 

Scripps Health

Scrippsは、2021年5月1日に発生したランサムウェア攻撃により、個人情報が盗まれたことを通知している。これには、住所、生年月日、健康保険情報、医療記録番号などが含まれている。また、約3,700人が社会保障番号や運転免許証番号を盗まれた可能性がある。(147,267)

 

メリーランド大学バルティモアカウンティ校(UMB)

UMBは、同校のAccellion FTA内の機密データファイルがサイバー犯罪者のウェブサイトに掲載されたことを報告した。影響を受けたデータには、氏名、人口統計学的情報、社会保障番号、医療情報などが含まれている。

 

Caravus

同社は、2020年に発生した「Netgain Technology」ランサムウェアのインシデントにおいて、2016年中またはそれ以前に保存された一部のレガシーデータが不正アクセスされていた可能性があることを公表した。これには、氏名、住所、社会保障番号、医療情報のほか、場合によっては金融口座情報や運転免許証番号などが含まれている。

 

アズサ市警察

2021年3月9日、同局はランサムウェアの攻撃によりコンピュータシステムの一部がアクセス不能になっていることを発見した。調査により、攻撃者が氏名、社会保障番号、カリフォルニア州の身分証明書番号、パスポート番号、財務情報、医療情報などを盗み取った可能性があることが判明した。

 

The Sturdy Memorial Hospital

2021年2月9日に発生したインシデントで、同病院は攻撃者に身代金を支払った。影響を受けたデータの一部は、Harbor Medical Associates や South Shore Medical Center、そして South Shore Physician Hospital Organizationの関連プロバイダーなど、同病院が過去に提携していた医療機関のものだった。盗まれたデータには、住所、電話番号、社会保障番号、財務情報、医療情報などが含まれていた。

 

Hoboken Radiology

Hoboken Radiologyは、2019年6月2日から2020年12月1日の間に、同社の医療用画像サーバーへの不正な接続を確認した。このサーバーには、氏名、性別、患者のID番号、画像などの情報が含まれていた。

 

フィラデルフィア市

データ侵害で、Department of Behavioral Health and Intellectual disability Services や Community Behavioral Healthからサービスを受けている個人が影響を受けた。2020年3月から2021年1月にかけて、複数の従業員アカウントがアクセスを受けた。影響を受けたアカウントは、氏名、生年月日、住所、医療記録、出生証明書のコピー、社会保障カード、運転免許証などへのアクセスを有していた。

 

The Woods Hole, Martha’s Vineyard and Nantucket Steamship Authority

Steamship Authorityは、ランサムウェア攻撃の標的となったことを発表した。この攻撃により、同社の一部の業務に影響が出て、発券作業に遅れが生じている。現在、同社のオンライン予約システムおよび電話による予約は利用できない。

 

Glacier Medical Associates

このモンタナ州の医療クリニックは、2021年4月7日にネットワークのセキュリティ侵害を発見し、停止させた。このインシデントの調査では、結果として個人の情報が悪用された形跡は発見されなかった。Glacier Medical Associatesは、ランサムウェアが関与しているかどうかについては明言しなかった。

 

Clover Park 学区

最近のランサムウェア攻撃を首謀したグループが、同学区から盗んだデータを公開したと主張している。このアクターは、「会社の内部文書、個人データや顧客データ」を含む5GBのデータを持っていると主張している。Kiro 7によって確認されたファイルには、生徒の課題やプレゼンテーションを含むZIPファイルや、文書の画像が含まれており、そのうちの1つは存在しない住所を公開している。

 

ロシア

DDoS-Guard

2021年5月26日、Group-IBの研究者は、防弾ホスティングプロバイダーのものと考えられるデータベースが、サイバー犯罪フォーラムで売りに出されているのを発見した。販売者によると、DDoS-Guardのデータベースには、名前、IPアドレス、支払い情報などの顧客データが含まれている。この販売者はまた、DDoS-Guardのインフラストラクチャのソースコードを所有しているとも主張している。

 

中国

UCWeb

アリババグループが所有するUCWeb社が、AndroidおよびiOSデバイス上で同社製品を利用するユーザーの閲覧履歴や検索履歴を、シークレットモード利用時にも取得していることが、セキュリティ研究者によって発見された。UCWeb社のサーバーに送信されたデータには、閲覧したURL、検索した語句、デバイスの詳細、IPアドレスなどの詳細な情報や、その他の機密情報が含まれている。

 

AMT Games

WizCaseの研究者は、AMT Gamesが所有するセキュリティで保護されていないElasticSearchサーバーに、同社のゲーム「Battle for the Galaxy」の暗号化されていないユーザーデータが含まれていることを発見した。プレーヤーのプロフィール、200万件のトランザクション、58万7千件のフィードバックメッセージなどを含む、合計1.47TBのデータが公開されていた。公開されたデータの中には、アカウントID、Eメールアドレス、プレーヤーID、ユーザー名、国、アカウントをリンクさせていた人のFacebook、Apple、Googleのアカウントデータなどが含まれていた。(5,900,000)

 

アイルランド

保健サービス委員会(HSE)

HSEは、ランサムウェア「Conti」の攻撃を受けた後、患者のデータがオンライン上に流出したことを認めた。このデータには、患者の慎重に扱うべき情報と複数の企業文書が含まれている。(520)

 

オーストラリア

BLK Sport

「DarkSide」ランサムウェアのオペレーターが、2021年4月21日にこの企業のサーバーを攻撃した。盗まれた可能性のあるデータには、氏名、住所、連絡先、および一部のクレジットカード番号が含まれる。同企業はまた、名前、住所、連絡先、契約情報、注文情報、銀行口座情報などを含むサプライヤーに関する情報も影響を受けた可能性がある、と述べた。

 

インド

不明

Cybleの研究者は、インドの税関データに関連する1億3,000万件の記録にアクセスしたと主張する活発な脅威アクターを特定した。この情報には、港名、輸出入データ、サプライヤー名、請求書の詳細、価格情報などが含まれている。

 

メキシコ

Lotería Nacional and Pronósticos lottery

「Avaddon」ランサムウェアのアクターは、この宝くじウェブサイトからデータを盗み、同サイトのデバイスを暗号化したと主張している。このグループは、身代金が支払われなければ、文書を公開したり、分散型サービス拒否攻撃を行うと述べた。

 

イタリア

 ポルト・サンテルピーディオ

「Pay or Grief」ランサムウェアのオペレーターが、同自治体から8GBのデータを盗み出したと主張している。そのうち900MBはすでにリークされた。このデータには、住民の慎重に扱うべき情報や行政ファイルなどが含まれている。

 

スウェーデン

Klarna

2021年5月27日、この金融サービス会社は深刻な技術的問題に見舞われた。ユーザーは、同銀行のアプリにログインした後、自分の情報ではなく他のユーザーの情報が表示されたと報告した。カードや銀行の情報には影響がなかったとKlarna社は述べたが、一部のユーザーは、名前、携帯電話番号、住所、保存されている銀行口座、購入履歴、保存されているクレジットカードにアクセスできたと報告した。(90,000)

 

 

重要インフラに関連して言及された攻撃タイプ

このチャートは、重要インフラに関連して先週話題となった攻撃タイプを示しています。

 

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

銀行、金融

Bitdefenderの研究者は、Android向けのバンキングトロージャン「TeaBot」と「FluBot」が、人気アプリを装った悪意のあるアプリを介して配布されていることを報告した。「TeaBot」のキャンペーンは2020年12月に開始され、現在も継続中で、主にスペイン、イタリア、オランダのユーザーを標的としている。このマルウェアは、Google Playで提供されている5つの人気アプリを装っている。ある配布方法では、偽の「Ad Blocker」アプリをマルウェアのドロッパーとして使用しているが、研究者は、他の方法も使用されている可能性が高いと指摘している。一方、「FluBot」は、SMSメッセージで拡散されている。このマルウェアは、最も一般的には「DHL Express Mobile」アプリを装っており、主にドイツ、スペイン、イタリア、英国のユーザーを標的としている。

 

政府

米サイバーセキュリティ・インフラストラクチャセキュリティ庁と連邦捜査局は、現在、巧妙な脅威アクターが米国際開発庁を装い、 Constant Contact の侵害されたエンドユーザーアカウントを利用して政府機関、政府間組織、非政府組織を標的にしていると警告した。このキャンペーンを最初に確認したのはマイクロソフトで、「Nobelium」による犯行としている。このグループは「NativeZone」などの様々なカスタムツールを使用しており、SentinelLabsの研究者は、「NativeZone」がウクライナ政府を標的とした有害アップデートインストーラーとして使用されていることを確認している。

 

テクノロジー

富士フイルムは、2021年6月1日に東京本社において「ランサムウェア攻撃の可能性を認識した」と発表した。同社は、ネットワークを部分的に停止し、外部との通信を遮断することを選んだ。このインシデントは、Fujifilm USAにも影響を与えた。Fujifilm USAは、Eメールおよび電話システムに影響を与えたネットワーク問題に見舞われている。Advanced Intel社のVitali Kremez氏は、BleepingComputer に対し、富士フイルムが先月「Qbot」トロイの木馬に感染したと報告した。Kremez氏は、「Qbot」への感染は将来のランサムウェア攻撃のリスクにつながると述べたほか、「Qbot」マルウェアグループは現在、ランサムウェアグループ「REvil」と連携していると述べた。

 

小売・旅行

食肉加工会社であるJBSがサイバー攻撃の標的となった。最初の報道では、JBSオーストラリアが影響を受けたとされていた。JBS USAは、この攻撃が北米およびオーストラリアのITシステムの複数サーバーに影響を与えたことを認めた。バックアップサーバーには影響がなかったとのことで、同社は現時点で顧客、サプライヤー、従業員のデータが被害を受けた証拠はないと述べた。米連邦捜査局(FBI)は、この攻撃をランサムウェアグループ「REvil」によるものとしている。

 

医療

2021年5月27日、スウェーデン公衆衛生庁は、同国の感染症データベース「SmiNet」への侵入が相次いだため、同データベースを停止した。このシャットダウンにより、COVID-19の感染者報告に影響が出ている。現在のところ、情報が盗まれたとは考えられてないものの、攻撃者が機密データにアクセスしていたかどうかは不明のままだ。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-28-may-03-june-2021/


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/