ウィークリー・サイバーダイジェスト – 2020年11月20日〜11月26日 | Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > NEWS > ウィークリー・サイバーダイジェスト – 2020年11月20日〜11月26日

ウィークリー・サイバーダイジェスト – 2020年11月20日〜11月26日

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

Seeley Medical

オハイオ州に拠点を置くこの医療クリニックは、データ侵害を報告した。今回の侵害で攻撃者は、特定のファイルにアクセスして盗み出したという。これには、患者の名前、住所、電話番号、カルテ番号、社会保障番号、処方箋情報が含まれていた可能性がある。(16,196人)

 

Kenneth Copeland Ministries

2020年11月18日、「REvil」ランサムウェアのオペレーターは同組織への攻撃の犯行声明を出した。同オペレーターは、1.2TBのデータを盗んだとされている。ダークウェブ上にアップロードされた、盗まれたとされるファイルディレクトリのスクリーンショットは、財務文書、契約書、銀行関連文書、販売履歴、Eメールが侵害されたことを示唆している。

 

Nitro Software

ニュージーランドのCERT NZは、脅威アクターが「Nitro PDF」ユーザー260万人のメールアドレスとハッシュ化されたパスワードを保有している旨の主張をしているとの警告を発した

 

Pray Inc

vpnMentorの研究者は、キリスト教のお祈りアプリ「Pray[.]com」に属する、4つのAWS S3バケットが誤設定されていることを発見した。流出データは2016年から現在までのものである。流出したユーザーデータには、ユーザーのフルネーム、電話番号、自宅住所、メールアドレス、ユーザーのアップロード写真などが含まれていた。また、同アプリはユーザーの連絡先から取得したデータを保存しており、アプリを利用していない人の名前、電話番号、メールアドレスなどを流出していた。(10,000,000人)

 

LSU Health New Orleans Health Care Services Division 

従業員の侵害されたEメールアカウントには、複数の施設で治療を受けた患者に関する、少量の情報が記載されたEメールや添付ファイルが含まれていたと報告されている。流出した可能性のあるデータには、患者名、カルテ番号、口座番号、生年月日、社会保障番号などが含まれている。

 

Corcoran Group

2020年6月、セキュリティ研究者のJeremiah Fowler氏は、保護されておらず一般公開されたデータベースが、合計3,070万件のレコードを公開しているのを発見した。流出データには、エージェント名、Eメール、パスワードキー、セキュリティトークンなどの内部記録のほか、名前、Eメール、物件データなど、所有者や顧客のデータも含まれていた。

 

Miltenyi Biotec

2020年11月4日、「Mount Locker」ランサムウェアのオペレーターが、同社への攻撃の犯行声明を出し、同社から盗まれたと考えられる150GBのデータのうち、5%をデータリークサイトに流出させた。

 

Peatix Inc

あるハッカーが、Instagramのストーリーズ、Telegramチャンネル、およびいくつかのハッキングフォーラムに掲載された広告を介し、ユーザー420万人以上のデータを流出させた。ZDNetが分析したサンプルには、フルネーム、ユーザー名、メールアドレス、ソルト・ハッシュ化されたパスワードが含まれていた。(4,200,000人)

 

Galstan & Ward Family and Cosmetic Dentistry

同歯科は、電話で身代金を要求してきた侵入者によって、サーバーの1つが危険にさらされたと報告した。2020年9月11日、一部ファイルがダークウェブ上で公開された。名前、住所、生年月日、社会保障番号、歯科ファイルなどが攻撃者に閲覧された可能性がある。

 

Conway Regional Medical Center

このアーカンソー州の医療センターは、2020年10月12日に発生した従業員のEメールへの不正アクセスを確認した。今回の侵害で、患者名、生年月日、Eメールアドレス、Covid-19の検査結果が流出した。(2,945)

 

Headlam Group

2020年11月24日、この床材販売会社は、同社のコンピュータシステムの一部への不正アクセスを発見したことを公表した。少量のデータが流出したという証拠が見つかった。(92,795)

 

Fairchild Medical Center

2020年7月、同医療センターは、サーバーの1つの設定ミスにより、記録が流出したとの報告を受けた。サーバーは2015年12月16日から2020年7月31日までアクセス可能だった。今回の侵害に対する調査では、記録への不正アクセスが行われたかどうかを判断することはできなかった。アクセスされた可能性のあるデータには、医療画像、氏名、生年月日、患者識別番号などが含まれている。

 

 

アイルランド

Glofox

アイリッシュ・タイムズ紙の報道によると、ジム管理ソフトウェア会社の「Glofox」は、複数のジムに対し、顧客データを流出させるデータ侵害が発生した可能性があると通知した。「ShinyHunters」が実行したと報じられている今回の攻撃は、不特定多数の顧客の名前、住所、電話番号、ハッシュ化されたパスワード、生年月日を流出させた可能性がある。

 

 

スウェーデン

Spotify

vpnMentorの研究者は、3億8,000万件以上のレコードを含む保護されていないElasticsearchデータベースを特定した。ログイン認証情報を含むデータが、Spotifyアカウントにアクセスするために使用されていると、研究者は推測している。

 

 

オーストラリア

Law In Order

Law In Orderは、2020年11月22日に発見された「NetWalker」ランサムウェア攻撃の標的となっていた。同社によると、同社サーバーから「ごく一部」のデータが流出したとの報告があるという。

 

 

フランス

Banijay Group

このエンタテインメント企業は、ランサムウェア攻撃の標的になった。Cybersecurity InsidersやDeadlineによると、攻撃者は、ID情報や銀行の詳細情報、自宅住所などの従業員データを流出させた可能性があるという。

 

 

中国

Baidu

Palo Alto Networks Unit 42の研究者は、「Baidu Search Box」と「Baidu Map」が、IMSIやMACアドレスなどの情報を収集していることを確認した。この情報により、ユーザーが生涯にわたって追跡される可能性がある。

 

 

インド

WhiteHat Jr

The Quintによると、同社は学生のデータを公開する、保護されていないAWS S3バケットを管理していたという。流出データには、学生の名前、年齢、性別、写真、ユーザーID、親の名前、進捗報告などが含まれていた。さらに、別の研究者のSantosh Patidar氏は、トランザクション情報などの個人データを流出させている、同社に属するAPIを特定した。(280,000)

 

 

英国

Bristol City Council

同協議会は、新しい支援サービスに関するメールを数百人に誤送信した。メールの中には、子ども487人の名前と、初期診療担当者のメールアドレスが含まれていた。(487)

 

NHS Highland

NHS Highland は、糖尿病患者284人のリストを名前不詳の31人に誤って転送した。このインシデントにより、患者の氏名、生年月日、連絡先、病院の識別番号が流出した。(284)

 

重要インフラに関連して言及されたマルウェア

このチャートは重要インフラに関連して、先週トレンドとなったマルウェアを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

360 Total Securityの研究者は、メキシコで活動する「BBtok」という名のバンキング型トロイの木馬を発見した。このマルウェアは、フィッシングメール内の、PDFに偽装したLNK添付ファイルを通じて配信される。また、ペイロードをダウンロード・実行するため、PowerShellスクリプトを展開するファイルレス攻撃を実行する。さらに、ウイルス対策ツールによる検出を回避し、Windowsのプロセスやサービスの操作など、さまざまなバックドア命令を実行することができる。また、ユーザーの認証情報を盗むため、正規のバンキングインターフェイスの外観を模した、偽の銀行セキュリティ検証ウィンドウを表示するためにも使用される。

 

政府

Proofpointの研究者は、2020年9月から10月にかけて、「TA416」による新たなフィッシング活動を観測した。これはバチカンと中国共産党との外交に関わる者や、ミャンマーの関係者を標的とした過去のキャンペーンの続きと見られる。また、アフリカの組織を狙ったものも確認された。同グループによる過去の同様のキャンペーンは、「Mustang Panda」と「RedDelta」によるものとされている。今回の新たな活動は、バチカンの教皇聖座と中国共産党との間の暫定合意に言及したソーシャルエンジニアリングのルアーで構成されており、UCAnewsのジャーナリストを模倣していた。このキャンペーンには、新たなGolangバージョンの「PlugX」が関連していた。「TA416」がGolangバイナリを使用しているのが観測されたのは、これが初めてだと研究者は指摘している。

 

テクノロジー

英NCSCは、サイバー犯罪者や国家APTグループが、MobileIronの製品「Core」と「Connector」の脆弱性を狙うことで、英国の組織のネットワークを侵害しようとしていると警告している。この重大なリモートコード実行の欠陥は、「CVE-2020-15505」として追跡されており、2020年6月にMobileIronによってパッチが適用された。2020年9月には、概念実証済みのエクスプロイトが利用可能になり、脅威アクターは脆弱性のあるネットワークを標的にし始め、一部の事例では成功した。標的となった業界には、医療、法律、地方自治体、物流などが含まれる。

 

小売、ホスピタリティ

ジェミニ・アドバイザリーの研究員によると、ブラックフライデーまでの間、欧米の銀行では中国の登録機関ename[.]netに登録されている中国ベースのサイトにリンクしたEコマース詐欺が急増している。研究者は、600近くの詐欺サイトを運営している1つのグループを特定し、そのうち200のグループが吉林九台農村商業銀行(Jilin Jiutai Rural Commercial Bank Co Ltd.)に関連していることを明らかにした。銀行と詐欺師の関係性については、現時点では不明である。詐欺グループは、顧客の支払いカードデータや個人情報を収集し、ダークウェブ市場で販売するオンラインショップを開設している。また、対応するソーシャルメディアサイトも作成され、ビジネスをより合法的に見せ、製品をさらに宣伝している。

 

暗号通貨 

脅威アクターは、ソーシャルエンジニアリング詐欺でGoDaddyの従業員を標的にし、特定のドメインの所有権と制御権を自分自身に移すように説得した。この攻撃の結果、Liquid、NiceHash、Bibox[.]com、Celsius[.]network、Wirex[.]appを含む多くの暗号通貨取引プラットフォームが侵害された。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-20-26-november-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。