ウィークリー・サイバーダイジェスト – 2020年11月27日〜12月3日 | The Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

The Codebook > NEWS > ウィークリー・サイバーダイジェスト – 2020年11月27日〜12月3日

ウィークリー・サイバーダイジェスト – 2020年11月27日〜12月3日

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

 

 

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

ブラジル

Albert Einstein Hospital 

この病院の従業員が、ユーザー名、パスワード、ブラジル政府のシステムへのアクセスキーを含むスプレッドシートをGitHubアカウントにアップロードした。これらの認証情報は、軽症コロナ患者について記録するために使用されるE-SUS-VEデータベースと、入院患者のデータを含むSivep-Gripeデータベースにアクセスするために使用された可能性がある。アクセス可能となったこれらのデータベースは、名前、住所、ID情報、健康記録を流出させた。

 

Regional Court of the First Region

R7は、2020年11月27日に同裁判所のシステムがハッカーに襲われたと報告した。攻撃者は、40以上の裁判所データベースに格納されたファイルにアクセスしたと主張している。

 

米国

US Fertility 

同社は、2020年8月12日から9月14日の間に、名前不詳の脅威アクターが「少量のファイル」を取得したと発表した。流出データには、氏名、住所、生年月日、MPI番号、社会保障番号などが含まれている。

 

Parler

Business Insiderの報告によると、サードパーティベンダーのPolitical Mediaが所有するAmazon Web Servicesのバケットの設定ミスにより、悪意のあるアクターがソーシャルネットワーキングアプリ「Parler」からユーザーデータを流出させたという。このダンプにParlerやWashington Examinerなど複数企業のパスワードや写真、メールアドレスなどのバックアップデータが含まれていることを、他の研究者が確認したと報じられている。

 

Spring Independent School District

DataBraches[.]netの報告によると、「Egregor」ランサムウェアのオペレーターが、学校を攻撃したと主張しているという。このアクターは攻撃の証拠として、学校から盗まれたとされる2011年の監査ファイルを公開した。

 

CBS

セキュリティ研究者の Seb Kaul氏 と Bob Diachenko氏 は、「デバッグ」モードで実行され、複数の管理者のユーザー名、パスワード、およびシークレットトークンを公開していた、 Last[…]fm に属する PHP Symfony アプリを発見した。攻撃者がユーザーアカウントの詳細情報にアクセスし、情報を変更するために使用する恐れがある。

 

McLeod Health

不正アクターが従業員アカウントのコンテンツをダウンロードした。コンテンツには、2020年4月13日〜16日の間の患者データが含まれる可能性がある。

 

AspenPointe

不正ユーザーが2020年9月に同社のネットワークを侵害し、フルネームに加え、その他の情報(社会保障番号、メディケイドID番号、生年月日、受診日、入院日、退院日、診断コードなど)を1つ以上公開した。(295,617)

 

Stride Inc

同社は、「Ryuk」ランサムウェア攻撃で盗まれたデータを保護するため、攻撃者に支払いを行ったことを明らかにした。この攻撃で企業のバックオフィスシステムの一部が侵害され、攻撃者は学生や従業員の情報にアクセスした。

 

NTreatment

TechCrunchは、Microsoft Azure上でホストされている、公開されたクラウドストレージサーバーを確認した。流出データは、医療記録、保険金請求書、医師のメモ、会社の社内文書の一部など、109,000件のファイルで構成されている。

 

Harvard Pilgrim Health Care

同社が使用していたソフトウェアのエラーにより、「個人の郵送先住所が、その個人のヘルスプランに関連する別の住所と関連づけられていた」ことが判明した。流出する可能性のあるデータには、ID番号、生年月日、電話番号、治療情報などが含まれている。(8,022)

 

Indian Health Council Inc

2020年9月22日に発覚したランサムウェア攻撃により、同社の患者データが影響を受けた可能性がある。攻撃者は、患者の名前や生年月日、治療内容、健康情報、健康保険情報などを含むファイルに、アクセスした可能性があるという。

 

Intersport

「Conti」ランサムウェアのオペレーターは、Intersportから盗んだと主張する20件を超えるファイルをダンプした。

 

Gardiner Public Schools

「DoppelPaymer」ランサムウェアのオペレーターが、モンタナ州の同学区から盗んだと主張する3つのファイルをアップロードした。同学区は、攻撃が行われたことを認めた。

 

台湾

Advantech

2020年11月26日、「Conti」ランサムウェアのオペレーターは、同社のものと主張する3.03GBのデータを公開した。

 

英国

不明

2020年10月、名称不明の保険会社のウェブサーバーがハッキングされたことにより、英国の自動車ドライバーの個人データが流出したと報じられている。漏洩データには、氏名、住所、電話番号、生年月日、メールアドレス、運転免許証などが含まれている。 (21,000)

 

オランダ

Royal Dutch Cycling Union

同組合の現在使用されていないデータベース「MijnKNWU」がデータ侵害に遭い、組合員や旧データベースに含まれていたメンバーの個人情報に影響が出た。名前、メールアドレス、支払い情報、家の住所、生年月日などがランサムウェア攻撃で盗まれたと報告されている。

 

南アフリカ

Absa

同社は、「少数」の顧客に影響を及ぼすデータ漏洩インシデントについて、顧客に通知している。今回の漏洩は、従業員が特定の顧客データを第三者に漏洩させたことによる、内部データの漏洩の結果だ。流出情報には、ID番号、連絡先、住所、口座番号などが含まれている。

 

フランス

Apodis Pharma

CyberNewsが発見した公開されたKibanaデータベースには、医薬品の販売データ、同社のパートナーや従業員のフルネーム、顧客倉庫の在庫統計、医薬品の出荷場所や住所など、ビジネス関連の機密データが1.7TB以上含まれていた。

 

Finistère Habitat

この社会住宅供給組織が「NetWalker」ランサムウェア攻撃の標的となり、2020年11月13日からオフィス機能に影響が出ている。「Netwalker」は、身代金要求に応じなければ、盗んだとするデータを公開すると脅した。

 

ケイマン諸島

不明

誤設定されたMicrosoft Azure ブロブが、名称不明の投資ファンドのバックアップデータを流出させた。流出データには、株主情報、取締役のパスポートスキャン、投資家とのやりとり、株券、オンラインバンキングの暗証番号のスキャンコピーなどが含まれていた。

 

イスラエル

Shirbit

Shirbitは、サイバー攻撃でデータを盗まれた。タイムズ・オブ・イスラエル紙は、侵害の影響を受けた者の多くが公務員であると報じた。「BlackShadow」と名乗るグループが犯行声明を出した。同グループの声明によると、「身分証明書、財務諸表、その他の会社関連書類」などを含む盗難データが、ダウンロードできるようになっているという。

 

韓国

E-Land

「Clop」ランサムウェアのオペレーターは、1年以上前にE-Land Retailを侵害し、同社のネットワーク上にPOSマルウェアを展開した後、2020年11月末にランサムウェアをアクティベートしたと主張している。同アクターは、クレジットカード番号や有効期限などのTrack 2データを含む、200万枚以上のクレジットカード情報を流出させたと主張している。

 

エストニア

政府

エストニアの経済通信省、外務省、社会省は2020年11月にサイバー攻撃を受けた。社会省からは感染症対策関連のデータが盗まれた。(9,158)

 

オーストラリア

BTC Markets

この暗号通貨取引所は、2020年12月1日に送信したマーケティングメールで、顧客の名前とメールアドレスを流出させた。1,000通まとめて送信された今回のメールは、受信者1人に対して999人分のユーザー情報を流出していた。(1,000)

 

その他

Unidas (LCAM3)

Unidasは、一部データが不正アクセスされ、盗まれた可能性があるセキュリティインシデントを公表した。

 

OGUsers

セキュリティ研究者のBrian Krebs 氏は、アカウント乗っ取りサイト「OGUsers」がハッキングされたと報告した。同サイトのホームページ上の改ざんメッセージには、フォーラムのユーザーデータベースが侵害されたと書かれている。

 

医療に関連して言及されたマルウェア

このチャートは医療に関連して、先週トレンドとなったマルウェアを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

米FINRAは、同組織のドメインになりすますフィッシングキャンペーンが進行中であると、加盟企業に警告を発した。FINRAはインターネットドメイン・レジストラに対し、悪質なドメインのサービス停止を要請した。

 

政府

サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)は、米国のシンクタンクが高度持続的脅威(APT)グループに狙われていると警告した。攻撃の主な対象は、国際問題や国家安全保障政策に携わる個人や組織である。CISAとFBIは、APTグループが、スピアフィッシング、欠陥のあるWeb上のデバイスやリモート接続機能を標的にした攻撃など、さまざまな方法で標的を危険にさらしていると警告している。攻撃者は、ユーザーの資格情報を取得し、機密データを盗み出し、ターゲットのネットワークに永続性を確立することを目的としている。

 

教育

RiskIQの研究者は、世界中の大学を標的とした「Shadow Academy」と呼ばれる脅威アクターの活動を分析した。同グループはイラン系アクター「Mabna Institute」と同様の手法を用いており、2020年7月から10月にかけて、オーストラリア、アフガニスタン、英国、米国の大学に対する20件の攻撃に関連していると思われる。同アクターのフィッシングキャンペーンのほとんどは、AmazonやInstagramなどのブランドやオンラインバンキングサービスになりすまし、認証情報の収集や窃盗行為に焦点を当てていた。また、他の3つの学校に対してドメイン・シャドーイングという手法を使用されていたため、ルイジアナ州立大学への攻撃に関連していると判明した。ハッカー集団「W4coders」のメンバーである可能性が高い「Murrez」と呼ばれる別の脅威アクターは、「Shadow Academy」と同様のテクニックを使用していることが判明しており、ライバル同士であると推測されている。

 

テクノロジー

BleepingComputerは、ユーザーのMicrosoftログイン情報を取得するためにZoomになりすました大規模なフィッシングキャンペーンについて報告した。ユーザーにリンクをクリックするよう促す偽、Zoom会議の招待状のメールが送られる。その後、ユーザーは偽のMicrosoftのログインページにリダイレクトされ、パスワードの入力を求められる。セキュリティ研究者のTheAnalystは、「フィッシングページがIMAP経由で被害者のアカウントにログインしようとすることで、入力された認証情報を確認している」と、BleepingComputerに伝えた。このキャンペーンでは現在も、多数のランディングページが使用されている。BleepingComputerは、これまで少なくとも3600通のEメールの資格情報がこの攻撃で盗まれたことを確認しているが、この数字はもっと高い可能性があると警告している。

 

医療

4人のセキュリティ研究者による調査で、北朝鮮のハッカーが2020年9月から、医療機関を標的にした攻撃を実行していたことが明らかになったと、ロイター通信が報じた。これらの攻撃は、正規のログインポータルに見せかけたWebドメインを拡散し、従業員から資格情報を取得している。標的とされた組織には、ジョンソン・エンド・ジョンソン、ノババックス、アストラゼネカ、Beth Israel Deaconess Medical Center、Tuebingen大学、Genexine Inc、Boryung Pharma Co Ltd、Shin Poong Pharm Co Ltd、Celltrion Inc.などが含まれているが、いずれの攻撃も成功したかどうかを判断できなかった。ロイター通信によると、攻撃に使用されたWebドメインやサーバーは、かつて米国政府や他のセキュリティ研究者よって、北朝鮮のハッキングキャンペーンと関連づけられていたという。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-27-november-03-december-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。