ウィークリー・サイバーダイジェスト – 2020年11月6日〜11月12日 | The Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

The Codebook > NEWS > ウィークリー・サイバーダイジェスト – 2020年11月6日〜11月12日

ウィークリー・サイバーダイジェスト – 2020年11月6日〜11月12日

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

イタリア

カンパリグループ

カンパリグループに対する攻撃で、「Ragnar Locker」ランサムウェアが使用された可能性が高い。盗まれたとされるファイルには、銀行口座の明細書、契約書、Eメールなどが含まれている。また、攻撃者のランサムノートには盗難データのスクリーンショットへのリンクが貼られており、スクリーンショットには従業員の納税書類や米国のパスポート、社会保障番号などが見られる。

 

ガイバ・コムーネ

このコムーネ(イタリアの基礎自治体)は2020年11月6日、サイバー攻撃を受けた。公式の通達によると、中央サーバーで保有されていた不特定多数の個人データが、このインシデントの影響を受けたという。

 

Luxottica Group

Luxotticaが運営する医療機関(EyeMed、LensCrafters、Target Opticalなど)は、同社予約スケジューリングアプリケーションに対する攻撃を受け、患者データが流出した。2020年8月5日に発生した今回のインシデントでは、名前、連絡先情報、および、処方箋や健康状態、処置などが記載された医師のメモや診断メモなどが流出した可能性がある。一部のケースでは、社会保障番号やクレジットカード番号が流出した。

 

ウクライナ

ウクライナ軍

ドンバス紛争地域での Joint Forces Operation(合同軍事作戦)に参加した兵士500人の個人情報が流出したことに関連して、法執行機関による調査が始まったと、Ukrainian Ombudsperson’s Officeが明らかにした。漏洩データには、生年月日、住所、税金情報、パスポートの詳細、電話番号などが含まれていた。(500)

 

インドネシア

Cermati

セキュリティ研究家のTeguh Aprianto氏によると、このフィンテックのアグリゲータープラットフォームの利用者データが流出し、オンライン上で約2万8000ドルで販売されたという。データには、氏名、住所、銀行口座、Eメール、母親の旧姓、税金番号、パスワードなどが含まれていた。(3,000,000)

 

日本

カプコン

「Ragnar Locker」ランサムウェアが、ゲーム会社のカプコンに対する攻撃で使用された。BleepingComputerの報告によると、攻撃者は1TB以上のデータをダウンロードしたと主張しており、盗まれたファイルのスクリーンショットへのリンクがランサムノートに掲載されていたという。その中には、日本のパスポートや「Steam」の売上報告書、銀行の取引明細書などが含まれているという。ランサムウェアのオペレーターは、カプコンのネットワーク上の2,000台のデバイスを暗号化した主張しており、1,100万ドルの身代金をビットコインで要求している。

 

米国

Club Fitness

このジム施設運営会社は2020年6月18日、同社のサーバーに対するサイバー攻撃により、不特定多数の個人情報が流出した可能性があることを明らかにした。攻撃により、同社ネットワーク上の「データやプログラム」へのアクセスが遮断されたと報告されており、未知のアクターが同社サーバーにアクセスして情報を入手したことが判明したという。

 

ドナルド・トランプ 2020年大統領選挙キャンペーン

トランプ陣営が、アリゾナ州マリコパ郡の有権者から不正投票に関する証言を収集するために設立したDontTouchTheGreenButton[.]comには、公開されたAPIキーとApplication IDが含まれており、有権者データの大量収集を可能にしていた。情報には氏名、住所、固有の識別子が含まれていた。APIはその後削除されている。

 

Lawrence General Hospital

マサチューセッツ州にあるこの病院は、不正な人物が同社のITシステムにアクセスした可能性があることを発見した。アクセスされた可能性のあるデータには、患者名、患者と訪問者のID番号、保険の種類などが含まれている。場合によっては、臨床情報にもアクセスされた可能性があり、最大で4人の社会保障番号が侵害された可能性もある。

 

Cloud Clusters

公開された同社のデータベースに、6,370万件のレコードが含まれていることが発見された。データベースには、Magento、WordPress、MySQLアカウントの、平文のユーザー名やパスワードに加え、クライアントパネルや従業員のログインパスやデータが含まれていた。調査員のJeremiah Fowler氏によると、管理者の認証情報がなくても、誰でもデータを編集、ダウンロード、削除することができたという。

 

Mashable

同社は、ハッカーがMashableデータベースのコピーをオンライン上に投稿したことを発見した。今回の侵害は、読者がソーシャルメディアアカウントのサインインを使って、Mashbableのコンテンツを共有可能だった過去の機能に関連している。流出データには、フルネーム、大まかな位置、メールアドレス、性別、登録日、ソーシャルメディアのプロフィールへのリンクなどが含まれている。

 

Wildworks

オンラインの子供向けゲーム「Animal Jam」を作る同社は、企業内のコミュニケーションで利用しているベンダーのサーバーに対する攻撃の結果、ユーザーの記録が公開されたことを明らかにした。データベースは、攻撃者の手によって流通しており、約4600万件の「Animal Jam」のアカウント記録を含んでいる。流出データには、プレイヤーアカウントを管理している保護者のメールアドレス、プレイヤーのユーザー名、暗号化されたパスワード、保護者の名前や請求書送付先など、さまざまな情報が含まれていた。

 

Jekyll Island Authority

2020年9月11日、発見されたジョージア州のジキル島当局に対するランサムウェア攻撃により、7,000人以上の個人や企業のデータが影響を受けた可能性がある。影響を受けたデータには、氏名や住所、医療記録などが含まれていた可能性がある。(7,000)

 

インド

BigBasket

Cyble Incの研究者が、ダークウェブ上で販売されているBigBasketに属するデータベースを発見した。15GBのデータベースには、フルネーム、EメールID、パスワードハッシュ、暗証番号、連絡先電話番号、住所、生年月日など、ユーザー約2000万人の詳細が含まれている。(20,000,000)

 

フランス

ヴァル=ド=マルヌ県 アルフォールヴィル

このフランスの町は2020年11月4日、ランサムウェア攻撃の標的となった。データ流出後に、ランサムウェアが展開されたと報告されている。

 

英国

Flagship Group

この社会住宅事業者は、「Sodinokibi」ランサムウェア攻撃を受けた。このインシデントの発端は、フィッシングの試みが成功したことだと疑われている。同社によると、攻撃で「スタッフと顧客の個人データの一部」が侵害されたという。

 

Sandicliffe

このカーディーラーチェーンは、2020年2月にサイバー攻撃の標的となった。ノッティンガム・ポストによると、顧客やスタッフを含む「おそらく数千人」の個人が、このインシデントの影響を受けたという。名前や生年月日、銀行やパスポートの詳細、国民保険番号、病歴などのデータが流出した可能性がある。(1000)

 

労働年金省(DWP)

DWPは、インターネット上で公開された2つのスプレッドシートの中のPIP障害申請者のデータを流出したと報じられた。2018年3月と6月にスプレッドシートが公開されて以来、6,842人分の国民保険番号がネット上で閲覧可能になっている。(6,842)

 

スペイン

Prestige Software

Website Planetの調査員は、同社のホテル予約プラットフォーム「Cloud Hospitality」に属するAWS S3バケットが誤設定されているのを発見した。バケットからは、ホテルの宿泊客の名前、住所、国民ID番号、電話番号、クレジットカード、予約情報などの顧客データが流出していた。2013年以降のファイル1,000万件以上が発見された。流出データの多くは、Agoda、Amadeus、Booking[.]com、Expediaなどの人気予約サイトからのものだ。

 

シンガポール

RedDoorz

BleepingComputerによると、脅威アクターがRedDoorzから盗まれた580万人分のユーザーレコードを宣伝しているという。脅威アクターが共有したデータベースサンプルには、587人のユーザーの記録が含まれている。流出したユーザーデータには、メールアドレス、bcryptハッシュドパスワード、フルネーム、性別、生年月日、職業などが含まれている。

 

パキスタン

パキスタン国際航空

KELAの研究者は、同航空会社へのドメイン管理者アクセスを宣伝する脅威アクターを発見した。脅威アクターはまた、同社ネットワーク上のすべてのデータベースを所有していると主張しており、盗まれたデータのサンプルをオンライン上に公開した。この販売者によると、15個のデータベースには、パキスタン国際航空を利用する全員のフルネーム、電話番号、パスポートの詳細が含まれているという。

 

南アフリカ

Bidvest Bank

同銀行は、2020年9月上旬に発見されたデータ漏洩インシデントに悩まされた。手作業での処理ミスが原因で、インシデントの間、1人の顧客が他の顧客の「少数」のプロファイルを閲覧することができた。その個人は、氏名、口座番号、銀行残高などのデータにアクセスできた。

 

中国

LimitChat

CyberNews の研究者が、中国に拠点を置く同プライベートソーシャルネットワークが所有している可能性のある、保護されていないAmazon S3バケットを発見した。このバケットには、83,016枚の画像と4,932本の動画を含む132,214個のメディアファイルが含まれていた。これらのファイルは、そのほとんどが性的なもので、ネットワークのユーザーが作成したものと考えられている。

 

フィリピン

Land Transportation Office

「Motor Vehicle Authenticator」を含むウェブサイトでは、車のメーカー、プレート、エンジン番号、登録日、登録所有者の名前が明らかにされていると報じられている。個人がサイトに掲載されているデータが正しいことを確認しており、LTOのデータベースからの流出を示唆している。

 

オーストラリア

Nexia

2020年11月3日、「REvil」ランサムウェア攻撃の標的となった会計事務所の広報担当者は、攻撃によってデータが流出したことを否定している。IT Wireによると、「REvil」のオペレーターは、同社から76GBのデータを盗み出したと主張し、影響を受けたディレクトリのスクリーンショットをDark Webにアップロードしていたという。

 

重要インフラに関連して言及されたマルウェア

このチャートは重要インフラに関連して、先週トレンドとなったマルウェアを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

 

銀行・金融

Cofenseの研究者たちは、政府の助成金によって中小企業が財務データに素早くアクセスできるようになったという事実を悪用した、企業向けのEメールによる危殆化キャンペーンが増加していることを発見した。最近のキャンペーンでは、世界的な金融会社の重役に「この情報を入手してください」というメールが送信されていた。攻撃者が情報の入手先をサポートしたり、受信者の名前を名乗るなどのソーシャル・エンジニアリング手法が使われていた。

 

教育

BleepingComputerによると、マイクロソフトは非公開のセキュリティ勧告で、多数の業界、特に最近では教育分野などがMicrosoft Teamsのアップデートを装った広告の標的にされていると警告している。ターゲットは、広告や、毒された検索結果を通じて拡散する悪質なリンクをクリックするよう誘導される。そして、ユーザーはソフトウェア「Teams」を含むなりすましサイトにリダイレクトされる。2019年に「DoppelPaymer」、最近では「WastedLocker」をドロップした、この「FakeUpdates」攻撃は、署名済みバイナリ、第2段階のペイロード、「CVE-2020-1472」のエクスプロイトを使用し始めている。脅威アクターは、このキャンペーンを利用して、「NJRat」、「ZLoader」、「Predator the Thief」、「Cobalt Strike」ビーコンなどのペイロードを配信している。

 

重要インフラ

ヨーロッパ各地の気象機関が、大規模なフィッシングキャンペーンより業界関係者のメールアカウントが侵害されたと報告した。侵入者は業界関係者のリストを入手し、英国の気象庁とヨーロッパ中期予報センター、スペインの気象庁、デンマーク気象研究所を標的にした。New Scientistによると、犯人は欧州委員会を含む複数の信頼できる連絡先のアドレスになりすましていたという。この攻撃により、正規のメールがスパムフィルターに引っかかったため、「多少の混乱」が発生したが、データは侵害されていないと考えられる。

 

医療

オーストラリアのサイバーセキュリティセンター(ACSC)は、国内の医療分野に対する「SDBBotリモートアクセスツール(RAT)」の脅威が増加していることをユーザーに警告した。ACSCによると、「SDBBot」は、永続性を保証するインストーラ、追加コンポーネントのためのローダー、RATペイロードで構成されている。「SDBBot」はまた、「Clop」ランサムウェアの先導としても使用される可能性がある。

 

暗号資産

ハードウェア暗号ウォレットメーカー「Ledger」のユーザーがフィッシングキャンペーンの標的にされ、Ripple Tokens(XRP)115万トークン、約291,200ドルが盗まれた。フィッシングメッセージは、公式ブランディングを使用し、URLの一文字をホモグリフに置き換えることで、ユーザーを正規の「Ledger」サイトを偽装したウェブサイトに誘導した。ユーザーは、偽のウォレットのアップデートをダウンロードするよう求められ、XRPを流出させる結果となった。別の詐欺では、脅威アクターが「Team Ripple」になりすまして、存在しないXRP景品を発表するメッセージで、ユーザーにLedgerのシードフレーズまたは暗号秘密鍵を提出して登録するよう求めていた。コイン・テレグラフ紙によると、詐欺師は「Ledger」を侵害し、ユーザーのメールアドレスを入手した可能性があるという。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-06-12-november-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。