Microsoft Power Appsのデータ漏洩 米国の政府・民間47組織に影響 | ウィークリー・サイバーダイジェスト – 2021年8月20日〜8月26日 | セキュリティ情報専門サイト|Codebook by Machina Record

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

セキュリティ情報専門サイト|Codebook by Machina Record > Articles > NEWS > Microsoft Power Appsのデータ漏洩 米国の政府・民間47組織に影響 | ウィークリー・サイバーダイジェスト – 2021年8月20日〜8月26日

Microsoft Power Appsのデータ漏洩 米国の政府・民間47組織に影響 | ウィークリー・サイバーダイジェスト – 2021年8月20日〜8月26日

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。

過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュースを取り上げています。

 

以下、翻訳です。

 

2021年8月26日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

 

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

イラン

エヴィーン刑務所

「The Justice of Ali」という名前で活動するグループが、この刑務所のセキュリティ映像と思われるビデオをAP通信に共有した。同グループは、数百ギガバイトのデータを所有していると主張しており、ハッキングが行われたのは数か月前だと述べた。動画には2020年と2021年のタイムスタンプが付いている。

 

ロシア

Oriflame

ロシア連邦通信・情報技術・マスコミ分野監督庁によると、盗まれたOriflameの顧客のデータベースが3つのインターネットリソースで検出されたとのこと。「Kommersant」紙は、Oriflameの顧客のパスポートスキャンがハッカーフォーラムで売りに出されたと報じた。同社は、一連のサイバー攻撃の標的となっていることを明らかにした。(1,300,000)

 

米国

Revere Health

この会社は、2021年6月21日に同社の従業員の1人がフィッシング攻撃の標的となり、セントジョージにあるHeart of Dixie Cardiology Departmentの患者の医療記録が流出したことを明らかにした。データには、医療記録番号、生年月日、および一部の医療情報や保険情報が含まれている。(12,000)

 

米国

SAC Wireless

ノキア子会社の同社は、2021年6月16日にContiランサムウェアによる攻撃の標的となった。この攻撃を調査した結果、攻撃者は攻撃の際に現在および過去の従業員の個人情報を盗んでいたことが判明した。これには、名前、生年月日、連絡先、政府のID番号、社会保障番号などが含まれる。

 

複数の政府機関、企業

UpGuardの研究者は、Microsoft Power Appsのポータルが一般にアクセスできるように設定されていたことが原因で起こった、複数のデータ漏洩を発見した。今回確認された漏洩による影響は、米国の政府機関に加え、アメリカン航空、J.B.ハント、フォード、マイクロソフトなどの民間企業を含む47の組織に及んだ。公開された個人情報には、COVID-19の接触追跡情報やワクチン接種の予約状況、社会保障番号、従業員IDのほか、氏名やメールアドレス数百万件などが含まれていた。この問題は、2021年5月24日に初めて確認された。

 

シンガポール

Eye & Retina Surgeons

2021年8月6日、患者の個人情報や臨床情報を含む、この民間クリニックのデータベースがランサムウェア攻撃の標的となった。(73,000)

 

オランダ

Radboudumc

報告によると、同病院のある元職員が、職員の機密情報を含むファイルをGitHubにアップロードしていたとのこと。公開されたデータには、氏名、ログイン名、Eメールアドレス、電話番号が含まれていた。また、Radboudumcと提携している組織の従業員のデータも流出した。

 

米国

Metro Infectious Disease Consultants

2021年6月24日、権限のない第三者が複数従業員のEメールアカウントにアクセスした。一部の個人情報がアクセスされた可能性がある。侵害された可能性のあるデータには、氏名、保険情報、社会保障番号などが含まれる。

 

スイス

ロール

2021年5月30日にランサムウェア攻撃を受けた後、ロール住民に関するデータを含むスプレッドシートがダークウェブ上に流出した。影響を受けたデータには、氏名、住所、生年月日、国民保険番号などが含まれている。

 

オランダ

ROC Mondriaan

この教育機関が2021年8月21日の週末にサイバー攻撃の標的となり、学生や従業員がシステムにアクセスできない状態になった。個人情報や慎重に扱うべきデータがアクセスされたり、盗まれたりした可能性がある。

 

インド

Atmana Inc

セキュリティ研究者のJeremiah Fowler氏は、BlockerXアプリに属する、パスワードで保護されていないデータベースを発見した。このデータベースには、合計121,624件のレコードが含まれていた。公開状態になっていたデータの中には、ユーザー名、Eメールアドレス、暗号化されたユーザーデータが含まれていた。また、添付ファイルやスクリーンショットをアップロードするために使用されたAmazon AWSのバケット名とアドレスも公開されていた。

 

米国

Total Testing Solutions

カリフォルニアを拠点とするこのスタートアップ企業は、自社ウェブサイトのアドレスを1桁変更することで、サインインのプロンプトを回避し、異なるユーザーのデータにアクセスできることを顧客が発見したため、このウェブサイトを停止した。TechCrunchは、この欠陥により約6万件の検査結果が危険にさらされたと見積もった。

 

フランス

Arles Hospital Center

2021年8月18日、Vice Societyランサムウェアのオペレーターがこの病院に対する攻撃の犯行声明を出し、盗んだ文書を公開すると脅迫した。

 

ニュージーランド

自然保護庁

アオラキ/マウント・クックにある自然保護局(DOC)捜索救助基地が、2021年7月21日にランサムウェア攻撃を受けた。この攻撃により、スタッフが基地のネットワークにアクセスできなくなったほか、スタッフや基地で支援を受けている人のデータが漏洩した可能性がある。

 

ロシア

Smart Voting

ロシアのこの戦術的投票オンラインプラットフォームがサイバー攻撃を受けた。Eメールアドレス、自宅住所、氏名などのメンバーデータが、Telegramチャンネル「Data1eaks」でリークされた。報告によると、今回のデータベースは、2021年7月21日に公開されたEメールアドレス191,500件からなる同様のリークと関連している可能性がある。(2,200,000)

 

米国

AT&T

DataBreaches[.]netは、AT&Tの顧客の社会保障番号と生年月日を含むデータを提供するという、アクターShinyHuntersによるアンダーグラウンドフォーラムの投稿を発見した。AT&Tは、このデータは同社のシステムからのものではないと述べた。(70,000,000)

 

米国

Lime Energy

2020年12月15日に公表されたサイバー攻撃で、Willdan Groupのこの子会社が標的となっていた。このインシデントで漏洩した可能性のある情報には、氏名、社会保障番号、運転免許証番号、医療情報、金融口座番号、支払いカード番号、CVV番号などが含まれる。

 

シンガポール

OT Group

Databreaches[.]netは、最近報じられた同不動産会社に対する攻撃に脅威アクターALTDOSが関与したという証拠を同アクターから提供されたと報告した。その証拠の一部として同グループは、自身がアクセスしたフォルダのディレクトリを示すビデオを共有した。フォルダの中には、個人の氏名、口座番号、銀行名などの情報が入っていた。(3,600)

 

米国

ロックウッド学区

ミズーリ州のロックウッド学区は、この学区のシステムに対する2021年6月17日に生じていたランサムウェア攻撃を発見した。このシステムは、2021年4月20日から6月24日の間に不正アクセスを受けていた。この攻撃により、氏名、住所、社会保障番号、生年月日、金融口座情報、生徒の記録などが流出した可能性がある。

 

中国

アリババクラウド

浙江省通信管理局は、同社がユーザーの登録情報をユーザーの同意なしにサードパーティーのパートナーに開示していたことを明らかにした。この声明は、2021年7月5日、名称不明の当事者からの苦情を受けて発表された。このインシデントは、2019年11月11日の「Singles Day」フェスティバル中に起こった。テレマーケティングの従業員が顧客の連絡先情報を私的に入手し、販売会社のスタッフにリークしたと報じられている。

 

政府に関連して言及された攻撃タイプ

このチャートは、政府に関連して先週話題となった攻撃タイプを示しています。

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

教育

ESETの研究者は、2020年半ばから続くキャンペーンで使用されており、これまでは文書として記録されていなかった新しいモジュール式バックドア、SideWalkを発見した。このキャンペーンの主な標的は、東アジアや東南アジアの組織(特に教育関連)である。また、米国、カナダ、ジョージアの企業も標的となっている。SideWalkは、C2サーバから送信される追加モジュールを動的にロードすることができ、デッド・ドロップ・リゾルバーとしてGoogle Docsを、C2サーバとしてCloudflare workersを利用している。このマルウェアの設計構造や実装の詳細の多くがCROSSWALKと共通しており、そこにはプロキシの処理方法も含まれる。このキャンペーンは、Winnti Groupに関連していると考えられている高度持続型脅威(APT)アクターSparklingGoblinによるものとされている。

 

医療

Cisco Talosの研究者は、ラテンアメリカのホスピタリティ業界や旅行業界を標的とした、2020年10月から行われている進行中のキャンペーンを確認した。脅威アクターはブラジル人であると考えられており、Eメールで配布される、マクロが有効なMicrosoft Office文書を使用している。感染にはVBScriptとPowerShellのモジュラーチェーンが関与しており、このモジュラーチェーンがアンチウイルス保護を無効化した後、njRATとAsyncRATが配信される。

 

テクノロジー

カスペルスキーの研究者は、トロイの木馬Triadaが仕込まれた「FMWhatsapp」と呼ばれるWhatsAppの改造バージョンを発見した。アプリが起動されると、同マルウェアはデバイス固有の識別子やアプリパッケージの名前を収集し、その情報をリモートサーバーに送信する。その後、Triadaはさまざまな種類のマルウェアをダウンロード、復号、起動する。ダウンロードされるマルウェアには、他の悪意あるモジュール(トロイの木馬xHelperのインストーラーモジュールなど)をダウンロード・起動できるマルウェアも含まれる。この他の機能として、全画面広告の表示、バックグラウンドでの不可視広告の実行、ユーザーの有料会員登録などがある。

 

小売・観光

セキュリティ研究者のDaniel Gallagher氏が、メール・フィッシングキャンペーンを発見した。このキャンペーンでは、脅威アクターがUPSの正規サイトを通じてペイロードを配布する。被害者は、本物のサイトへの追跡番号のリンクを受信するが、このサイトは攻撃者のCloudflareプロジェクトから悪意あるWord文書をダウンロードするために悪用される。ダウンロードされるファイルは、偽の請求書を装っており、文書を表示させるために「コンテンツを有効にする」ことをユーザーに促す。有効化されたマクロは次に、URLからPNGファイルをダウンロードしようと試みる。

 

政府

ベラルーシのCyber Partisansは、ベラルーシ当局から盗んだとされる大量のデータコレクションの一部を公開した。このグループは、X-Appと名付けられた有害なソフトウェアを使って政府のコンピューターをシャットダウンする準備をしていると述べている。政府のデータに対する詳細不明の攻撃を、KGBの責任者Ivan Tertelが2021年7月30日に確認した。攻撃者の代表者は、Cyber Partisansは15人ほどで構成され、そのほとんどがペネトレーションテストなど、情報技術に携わるベラルーシ人だと主張した。ベラルーシの元警部補であるAliaksandr Azarau氏は、Cyber Partisansが、正当性の争われている直近の大統領選挙の後に離反した元警察官で作る組織BYPOLと協力していることを明らかにした。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/weekly-cyber-digest-20-26-august-2021/

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/