ウィークリー・サイバーダイジェスト – 2020年10月16日〜10月22日 | The Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

The Codebook > NEWS > ウィークリー・サイバーダイジェスト – 2020年10月16日〜10月22日

ウィークリー・サイバーダイジェスト – 2020年10月16日〜10月22日

概要

 
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
 

米国

Broadvoice

セキュリティ研究者のボブ・ディアチェンコ氏は、同社に属するElasticsearchクラスタが保護されていない状態であることを発見した。同社CEOのジム・マーフィー氏は、2020年9月28日に誤って開いたままになっていたと述べている。漏洩したデータベースには、氏名、識別番号、電話番号、州、都市、ボイスメールの記録を含む3億5000万件以上の顧客記録が含まれており、そのうち20万件は個人情報を暴露したトランスクリプトも含まれていたという。
 

Dickey’s Barbecue Pit

同レストランのカードデータが、ダークウェブ市場で目撃された。調査員によると、2019年7月から2020年8月の間に、30州にまたがる156の店舗が侵害されたという。マグストライプ方式で処理されたカードは、平均17ドルの価格で販売されているという。 侵害からの新しいカードは、今後数ヶ月の間にデータベースに追加される可能性が高いという。
 

McLaren Oakland Hospital

ミシガン州の病院は、職員が誤って開いたままにしていた患者情報への「不正で安全ではないリンク」を含むデスクトップファイルを発見した。2,219人分の患者のデータは、病院のコンピューターを介してアクセスできた可能性があるが、調査の結果、不正行為の証拠は見つからなかった。
 

Toledo Public Schools

「Maze」ランサムウェアの運営者は、トレドの公立学校から盗んだと主張する9GB以上の圧縮データを公開した。流出したデータには、在校生と元生徒のフルネーム、学生証番号、性別、人種、社会保障番号、生年月日などが含まれている。職員に関する評価や懲戒報告書などの職員データも流出した。
 

KYB Corporation

「NetWalker」ランサムウェアのオペレーターは、請求書やWindowsのディレクトリなど、同社から盗まれたとされるデータのスクリーンショットをダークウェブ上に投稿した。
 

Pfizer

2020年7月9日、vpnMentorの研究者は、ファイザー社の米国医薬品安全ユニットに属するGoogleクラウドストレージのバケットが誤って設定されているのを発見した。このデータベースには、同社のさまざまな医薬品のユーザーと対話型音声応答カスタマーサポートソフトウェアとの間のトランスクリプトが含まれていた。トランスクリプトからは、氏名、自宅住所、メールアドレス、電話番号、健康状態や医療状態の部分的な詳細など、個人を特定できる情報が漏洩していた。
 

Timberline Billing Service

同社は、オスカローサ・コミュニティ学区とノックスビル・コミュニティ学区にセキュリティ上の問題が発生したことを通知しました。DataBreaches[.]netによると、さらなる学区にも通知があったようです。同社は、未知の行為者が、2020年2月12日から3月4日までの間に、同社のネットワークからファイルを暗号化して削除したと述べている。
 

Made in Oregon

同社は不特定多数のデータ侵害に見舞われ、7,800人の顧客の氏名、メールアドレス、住所、クレジットカード情報が流出する可能性がある。影響を受けた少数のクレジットカードは、すでに詐欺目的で使用されている。
 

組織不明

Trustwaveの研究者は、ダークウェブ上で販売されている米国の有権者の詳細な情報の大規模なデータベースをいくつか発見した。そのうちの1つには、1億8600万人の米国有権者の氏名、住所、性別、所属政党が含まれているとされている。研究者たちはまた、名前、住所、電話番号など、各人の400以上のデータポイントを含む2億4,500万件の記録を含むとされるデータベースを発見した。他にも多数の州別データベースが提供されている。
 
 

ドイツ

Crytek

BleepingComputerは、「Egregor」ランサムウェアのオペレーターがCrytek社への攻撃に成功したと、無名の情報源からの情報を得た。犯人は同社からファイルを盗み出し、リークサイト上で308MBのデータを流出させたと主張している。そのデータは、ネットワーク操作やゲームに関係しているようだ。
 

Sandbox Interactive GmbH

同社は、2020年10月16日に攻撃者がアルビオンオンラインのフォーラムのユーザープロファイルにアクセスし、暗号化されたパスワードを盗み出すことに成功したと述べている。また、ユーザーのメールアドレスも公開された。同社によると、パスワードはBcryptでハッシュ化され、塩漬けにされていたという。
 
 

フランス

Ubisoft

ランサムウェア集団「Egregor」がUbisoftを攻撃し、Ubisoftのゲーム「Watch Dogs Legion」の資産を含む20MBのアーカイブを意図的に共有したと主張している。BleepingComputerは、この主張の正当性は現在のところ不明であると述べている。
 
 

インド

JSW Steel

「SunCrypt」ランサムウェアオペレーターは、ランサムウェアや分散型サービス拒否(DDoS)攻撃でインドの鉄鋼企業を標的にしたと主張している。テキサスに拠点を置く同社のオペレーションから盗まれたとされる文書がダークウェブ上に流出した。
 

Bharat Matrimony

脅威アクターは、BharatやElite Matrimony、その他の類似サービスに帰属する46のデータベースから、ユーザーのメールアドレスやクリアテキストのパスワードなど、300万以上のユニークな個人データを所有していると主張している。記録の一部には、連絡先の番号や家族の詳細も含まれている。Bharat Matrimonyの声明によると、公開されたデータベースは古く、機密情報は含まれていないという。
 

Haldiram

2020年7月12日に発生したランサムウェア攻撃は、ノイダにある同社のオフィスに影響を与え、その後、サーバーがオフラインになる前に企業ネットワークを介して拡散した。攻撃者はデータを暗号化し、バックアップを削除し、財務情報や従業員情報を盗み出した。
 

Narendra Modi

インドのナレンドラ・モディ首相の公式サイトから盗み出された複数のデータベースが、サイブル研究者によりダークウェブ上で発見された。氏名やメールアドレス、連絡先など57万4000人分のデータが流出した。2つ目のデータベースには、銀行の参照番号や支払い方法などの寄付者情報が記載されていることが判明した。研究者は、データはAWSのバケットから抽出された可能性があると考えている。
 
 

スウェーデン

Panion

サイバーニュースの調査員が、同社が所有する安全ではないAWSのデータバケットを発見した。バケットには、フルネームやメールアドレス、興味関心事、位置座標などの情報を含む250万件以上のユーザー記録のほか、自撮りや書類の写真など70万枚近くの画像が含まれているという。
 
 

オーストラリア

Kleenheat

2014年に行われた第三者のシステムへの侵入により、名前やメールアドレス、居住地の住所などが流出した可能性がある。同社によると、今回の侵害が悪意のある活動と関連していることを示す証拠はないという。
 
 

クウェート

Go Unlimited

海賊版コンテンツストリーミングホスト「Go Unlimited」は、2020年10月15日に分散型サービス拒否攻撃の標的となり、サイトへのパブリックアクセスが停止した。また、攻撃者はサイトから盗まれたユーザーのメールアドレスやパスワードなどのデータを含むデータベースの証拠を持ってTorrentFreak上に投稿してきた。
 
 

ギリシャ

Cosmote

2020年9月1日から9月5日にかけて、携帯電話ネットワーク事業者がサイバー攻撃の標的となった。攻撃では、電話番号や通話時間、端末の種類、攻撃時の通話に関連する情報など、「数千人の顧客」のデータが流出した。また、氏名やパスワード、メッセージの内容、銀行情報などは流出しなかった。
 
 

イタリア

Luxottica Group

「Nefilim」ランサムウェアのオペレーターが、アイウェアメーカーから盗まれたとされる大量のファイルを公開した。漏洩したのは、専門家の履歴書、採用プロセスや人事の内部構造情報、予算、マーケティング予測分析などの人事・財務データ。
 
 

フィンランド

Vastaamo

患者に心理療法を提供しているVastaamo社は、患者のデータが「未知の敵対者」によって身代金を要求されているというデータ漏洩に見舞われたと発表した。
 
 

各業界の週間概況

 
先週の各業界に関わるニュースと情報です。
 

銀行・金融

IBMの研究者は、主にフィッシング・メール経由でブラジルのユーザーに配信されている新しいバンキング型マルウェア「Vizom」を発見した。このマルウェアは、ビデオ会議ソフトの本物の実行ファイルの中に隠れ、Windows OSを騙し、悪意のあるDLLを実行させている。攻撃の操作にはDLLハイジャックの方法も使われており、この場合は正規のVivaldiブラウザのファイルが利用されている。永続化のためにブラウザのショートカットを変更するこのマルウェアは、ブラウザの監視、攻撃者のC2とのリアルタイム通信、オーバーレイ画面の適用、リモートアクセス型トロイの木馬の機能の実行、キーストロークのログ、スクリーンショットの撮影などを行うことができる。
 

政府

米国の当局者は、少なくとも4つの州で有権者が受信している極右団体「プラウド・ボーイズ」を装った脅迫メールが、イランの国家支援を受けた工作員によって送信されたと報告した。メールを受け取った個人がMotherboardに語ったところによると、フルネームや自宅の住所など、メールに記載されている個人情報はすべて正確だったという。Motherboardは、この情報は一般の有権者名簿から得られたものである可能性が高いと考えている。ジョン・ラトクリフ国家情報長官は、郵便投票システムが改ざんされて偽の票が送られる可能性があることをほのめかす動画が、イランのアクターによって拡散されていたとも述べている。またワシントン・ポスト紙は、州や地方の選挙サイトに「セキュリティホール」が検出されたことを、米国土安全保障省の関係者が警告したと報じている。
 

仮想通貨

BleepingComputerは、0Authで承認を行う「Coinbase」をテーマにした悪質なアプリが、同じく「Coinbase」をテーマにしたフィッシングメールで拡散されていることを確認した。メッセージは、サービスの利用を継続するため、「Coinbase」の利用規約の更新に同意する必要があることをユーザーに通知する。メール内の「Read and Accept Terms of Service FAQ(サービスに関するよくある質問の内容を、よく読み同意する)」リンクから、マイクロソフトのサインインページに誘導される。ログインしたユーザーは、悪意のある「coinbaseterms」アプリによるアカウントへのアクセスを許可するよう促される。アプリを許可することで、攻撃者はユーザーのプロフィールを読み取ることが可能になり、メールボックス内のメールの作成、読み取り、更新、削除ができるようになる。攻撃者はアプリを使ってメールを送信することはできない。
 

小売、ホスピタリティ、観光

Gemini Advisoryは、DarkWebマーケットプレイスの「Joker’s Stash」に2020年10月12日、「BLAZINGSUN」と呼ばれるカードデータの新たな隠し場所が追加されたと報告した。マーケットプレイス管理者によると、「BLAZINGSUN」には、米国35州、およびヨーロッパとアジアの「一部」地域から漏洩した300万枚のカードが含まれているとのこと。Gemini Advisoryは、データは米国に拠点を置くレストラン「Dickey’s Barbecue Pit」からのものと判断した。調査員によると、2019年7月から2020年8月までの間に、30州の156の拠点が侵害されたという。広範囲に渡って漏洩したことから、Geminiは、今回のインシデントが単一の中央処理装置における漏洩と関連している可能性があると述べている。磁気ストライプ方式で処理されたカードは、平均価格17ドルで販売されている。今回の侵害による新しいカードは、今後数ヶ月の間に、データベースに追加される可能性が高い。
 

重要インフラ

Internet Storm Centerのフォーラム研究者が、「Agent Tesla」スパイウェアを配布する、海運業界を狙ったフィッシング・キャンペーンを観測した。メールは、既存の海運会社の送信者アドレスを装っており、受信者に向けた情報や要求を特徴としている。メールは、本文に業界用語を含み、実在する旅行船に言及している。またメールには、「Agent Tesla」スパイウェアが含まれたcabファイルが添付されている。このスパイウェアは一般的に、標的となる企業のEメールドメインを介して盗まれたデータを流出させる。同研究者は、このキャンペーンがある程度成功していると判断した。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
 

翻訳元 : Threat Summary
https://www.silobreaker.com/threat-summary-16-22-october-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。