川崎汽船の海外子会社に不正アクセス | ウィークリー・サイバーダイジェスト – 2021年7月2日〜7月8日 | Machina Record

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > NEWS > 川崎汽船の海外子会社に不正アクセス | ウィークリー・サイバーダイジェスト – 2021年7月2日〜7月8日

川崎汽船の海外子会社に不正アクセス | ウィークリー・サイバーダイジェスト – 2021年7月2日〜7月8日

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。

過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュースを取り上げています。

 

以下、翻訳です。

 

2021年7月8日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

 

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

日本

川崎汽船

同海運会社は、海外子会社のシステムが不正アクセスを受けたこと、盗まれたとされる情報やデータがその後公開されたこと[*]を明らかにした。同社は現在インシデントを調査中で、不正なアクセスは停止したと考えている。

[*訳注]原文は、同社の英語版プレスリリースや海外の報道の記述を元にしていると考えられます。なお、同社の日本語版プレスリリースや日本の報道では「流出した可能性がある」と表現されています。

[参考]

・川崎汽船公式サイトの英語版プレスリリース(2021年7月1日付)

https://www.kline.co.jp/en/news/other/other-1346357855826564069/main/0/link/210701EN.pdf

“We have confirmed that there was unauthorized access to overseas subsidiary systems, and we are aware that information and data alleged to have been acquired from overseas subsidiary system was published recently.”

・“The Maritime Executive”の報道(英語)

https://www.maritime-executive.com/article/japan-s-k-line-apologizes-for-second-cyberattack-in-months

・川崎汽船公式サイトの日本語版プレスリリース(2021年7月1日付)

https://www.kline.co.jp/ja/news/other/other4020275573200048069/main/0/link/210701JA.pdf

 

米国

Rehabilitation Support Services Inc

脅威アクター「Grief」は、2021年6月2日に同社を被害者リストに加え、同社サーバーから4GBのデータを盗んだと述べた。2021年6月29日には、財務、貸借対照表、税金、敷地計画、健康保険、銀行取引明細書、請求書などに関連するファイルを含む、多数のフォルダをダンプした。ファイルの中には、医療証明書、医療文書、ローン支払い伝票などが含まれている。また、顧客や従業員の社会保障番号と、運転免許証番号、介護施設のリスト、子供のリストがファイルに含まれてるケースもあった。

 

インド

Tamil Nadu Public Distribution System(TNPDS)

州住民の個人情報に影響を与えるTNPDS関連のデータ漏洩をTechnisanctが発見した。影響を受ける情報は、受益者のメンバーID、アドハー番号、受益者の氏名、住所、携帯電話番号、関係性など。MediaNamaによると、TNPDSの漏洩は3,100万人に影響し、データには1,900万件のアドハー番号が含まれているとのこと。(31,000,000)

 

米国

Arthur J. Gallagher

世界的な保険会社である同社は、2020年6月3日から2020年9月26日の間に詳細不明の攻撃者が同社のネットワークの一部にある「データにアクセス、またはこれを取得」したことを公表した。同社は、侵害されたシステム上の情報の種類として、社会保障番号、パスポート番号、生年月日、ユーザー名、パスワードなどを挙げた。(7,376)

 

米国

ワシントン州労働産業局

Pacific Market Researchは最近、同社のクライアントであるワシントン州労働産業局(L&I)に対し、2021年5月22日に発生したランサムウェア攻撃について報告した。同社は、2019年に労災補償請求をした労働者16,466人の連絡先、請求番号、生年月日が記載された、暗号化されていない文書が、自社システムに含まれていることを明らかにした。この文書には、雇用主9,400人のL&Iアカウント番号も記載されていた。(16,466)

 

米国

Brenntag North America

同化学品流通会社は、2021年4月に発生したランサムウェア「DarkSide」の攻撃に関する調査結果を発表した。報告書は、2021年4月26日に同社のシステムがアクセスされたこと、一部の情報が盗まれたことを認めている。影響を受けたデータには、社会保障番号、生年月日、運転免許証番号、一部の医療情報などが含まれている。(6,700)

 

英国

Good Shepherd Centres

この組織は、2020年9月27日にランサムウェア攻撃の標的となり、保護対象保健情報の一部が影響を受けたと述べた。

 

英国

New Skills Academy

このEラーニング業者は、顧客のユーザー名、メールアドレス、暗号化されたパスワードが被害を受けたデータ漏洩を公表した。

 

米国

Fairbanks Cancer Physicians

同クリニックは、クラウドストレージベンダーであるElektaに対する攻撃の影響を受けた。患者の氏名、社会保障番号、住所、生年月日、医療情報が影響を受けた可能性がある。

 

米国

Dermatology Group of Arkansas

同クリニックはフィッシング攻撃を受け、2020年11月12日から12月2日の間に従業員3人のアカウントが不正アクセスを受けた。攻撃者は、患者の氏名、生年月日、住所、医療情報などにアクセスできた。また、社会保障番号、運転免許証番号、パスポート番号、金融機関やクレジットカードの口座情報も影響を受けた。

 

スペイン

MasMovil

この通信事業者を標的として「データベースやその他の重要なデータをダウンロードした」と、ランサムウェア「REvil」のオペレーターが主張した。攻撃者は、盗んだと思われるデータのスクリーンショットを攻撃の証拠としてアップロードした。

 

米国

The CentraCare Health and Carris Health – Willmar Lakeland Clinic

同クリニックは、Netgain Technology社のランサムウェア攻撃の影響を受けたことを公表した。氏名、住所、生年月日、社会保障番号、メディケアID番号など、患者の過去の記録がインシデントの間にアクセスされた可能性がある。

 

南アフリカ

QSure

この保険会社は、2021年6月9日に発見されたデータ漏洩の影響を受けた。攻撃者は、QSureの顧客である保険契約者のデータを流出させ、銀行口座番号、銀行支店コード、氏名に被害を与えた。

 

米国

LinkedIn

CyberNewsの調査員は、米国の事業主のスクレイピングされたLinkedInデータが入った68MBのJSONデータベースを含んだ投稿を、人気ハッカーフォーラムで発見した。このデータベースには被害者が公開している情報が含まれ、その中には、プロフィールの概要、氏名、所在地、6,520件のメールアドレスを含む連絡先の詳細が含まれている。(88,000)

 

シンガポール

LimeVPN

2021年6月29日、「RaidForums」のユーザーが、LimeVPNから入手したデータベースを宣伝した。盗まれた情報には、ユーザー名、パスワード、メール、IPアドレス、支払いの詳細、ユーザーのトラフィックを復号するために使用できるプライベートキーなどが含まれている。バックアップデータベースには、69,400以上のユーザーレコードが含まれていると報告されている。

 

米国

GETTR

親トランプ派のソーシャルメディア・プラットフォームのメンバーのデータをスクレイピングできる保護されていないAPIをハッカーが特定したと、Hudson Rockの研究者が報告した。このハッカーたちはAPIが保護されたと報告したが、別のフォーラムのユーザーは、第2の保護されていないAPIを特定したと述べた。このスクレイピングされた情報は、有名なハッカーフォーラムに投稿された。BleepingComputerはデータのサンプルを閲覧し、そこにメールアドレス、プロフィールの名前、生年月日、所在地の詳細、プロフィールの説明などが含まれていると報告した。(87,973)

 

パキスタン

シンド高等裁判所

同裁判所のウェブサイトを2021年7月4日にハッカー集団「Indian Cyber Troops」が乗っ取ったと、Techjuiceが報告した。

 

米国

Practicefirst Medical Management Solutions

同社は2020年12月30日に同社システムへのランサムウェア攻撃未遂を発見した。攻撃者が同社システム上のファイルの暗号化を試みる前に、これらをコピーしていたことが判明した。盗まれたファイルには、氏名、住所、メールアドレス、運転免許証番号、社会保障番号、医療情報、財務情報など、患者や従業員の個人情報が含まれていた。

 

米国

Marsh McLennan

同保険会社は2021年4月26日にデータ漏洩を確認したことを明らかにした。同社は、脅威アクターが2021年4月22日以降にサードパーティ製ソフトウェアの脆弱性を悪用したと述べた。このインシデントにより、氏名、社会保障番号、その他の連邦納税者番号など「限定された複数のデータ」が影響を受けた。

 

銀行に関連して言及された攻撃タイプ

このチャートは、銀行に関連して先週話題となった攻撃タイプを示しています。

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

銀行・金融

2021年6月、Kryptos Logicの研究者は、「TrickBot」のWebインジェクトモジュールにおける新たな進化を確認した。脅威アクターは現在、「Zeus」式のWebインジェクトコンフィグのサポートを追加している。今回のWebインジェクトモジュールの進化は、「TrickBot」が銀行関連の不正に復帰しようとしていることを示していると、研究者たちは述べた。

 

暗号通貨

暗号通貨マイニングアプリを装う170以上のAndroidアプリを、Lookout Threat Labの研究者が確認した。そのうち25はGoogle Playに掲載されていた。これらのアプリは、アプリを購入したり偽のアップグレードを購入したりするユーザーから収益を得ながら、架空の収益活動を表示するだけのもの。これらのアプリは、93,000人以上のユーザーから少なくとも350,000ドルをだまし取ったと推定されている。これらのアプリの一部には、Google Playのアプリ内課金システムによる支払いに加えて、ビットコインやイーサリアムでの支払いオプションが備わっている。研究者は、複数の犯罪者がこのアプリを立ち上げたと述べている。これらのアプリはGoogle Playから削除されたが、数10のアプリがサードパーティのアプリストアでまだ流通していると報告されている。

 

政府

Check Pointの研究者は、2014年から続く現在進行中のサイバースパイ活動を特定した。このキャンペーンは、中国のAPTグループ「IndigoZebra」によるものだと考えられている。同グループは、最近ではアフガニスタンの国家安全保障会議を標的としているが、過去の活動ではキルギスやウズベキスタンの組織を標的としていた。アフガニスタンを標的とする最近の活動は、受信者に文書の確認を求めるスピアフィッシングメールから始まった。このメールには、パスワードで保護されたRARアーカイブが含まれており、「BoxCaon」バックドアをダウンロードして実行するファイルが添付されている。

 

重要インフラ

TeamT5の研究者は、航空宇宙業界の韓国企業を標的とした、「MemzipRAT」と呼ばれる新しいバックドアの2つのインストーラーを発見した。このマルウェアは、VPNの脆弱性を悪用して攻撃を行うことで知られる北朝鮮のAPTグループ「CloudDragon」に関連づけられている。研究者は、この新しいマルウェアは、以前のキャンペーンの延長線上にあり、新しいVPNのゼロデイ脆弱性を利用していると考えている。

 

テクノロジー

2021年7月2日、Huntress社の研究者は、数千の企業に影響を与えた攻撃において、KaseyaのVSAサーバーが「REvil」ランサムウェアのデプロイに使用されたことを発見した。同社は現在、影響を受けた世界各地のマネージドサービスプロバイダー約30社を追跡している。「REvil」のオペレーターはダークウェブ上の自身のサイトで、すべての被害者データの復号に7千万ドルを要求している。悪用されたすべてのVSAサーバーはオンプレミスであり、研究者は、この攻撃でSQLインジェクションの脆弱性が悪用されたことを確認した。攻撃が発生したとき、Kaseyaはすでにこれらの修正に取り組んでいたと報告されている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/weekly-cyber-digest-02-08-july-2021/

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/