ウィークリー・サイバーダイジェスト – 2020年12月11日〜12月17日 | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > NEWS > ウィークリー・サイバーダイジェスト – 2020年12月11日〜12月17日

ウィークリー・サイバーダイジェスト – 2020年12月11日〜12月17日

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

 

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

Cardinal Logistics Management

FreightWavesは、REvilランサムウェアのオペレーターが、トラック運送会社から盗難したとされるデータサンプルを流出させたと報じた。同アクターは、「財務書類、契約書、NDA、従業員データ」など、カーディナル社のデータ700GBを所持していると主張する。流出したサンプルには、財務、業績、顧客関係、従業員に関する情報が含まれていた。

 

 Konikoff Dental Associates

同社は、2020年10月11日に発覚したサイバー攻撃を公開した。患者や従業員の氏名、住所、請求情報、銀行口座番号、健康保険情報、治療情報などを含む電子メールに不特定多数の個人がアクセスした可能性があることが判明した。

 

Brooklyn Defender Services

2020年9月13日、ブルックリンディフェンダーサービスは、クライアントの個人データがセキュリティ侵害で漏洩した可能性があると判断した。何者かが従業員の電子メールに不正にアクセスし、従業員やクライアントの氏名、住所、金融口座番号、社会保障番号、運転免許証番号、パスポート番号、健康情報、および/または生体情報を閲覧した可能性がある。

 

Automation Personnel Services

サイバーニュースの調査員は、2020年11月24日に人気ハッカーフォーラムで流出した、同社のものとされる440GBのアーカイブを発見した。このデータは、失敗した身代金交渉を経て公開されたようで、企業の機密データのほか、同社のユーザー、パートナー、従業員に関わる機密文書が含まれている。

 

Sonoma Valley Hospital

カリフォルニア州のソノマバレー病院は、2020年10月のランサムウェア攻撃による個人情報流出の可能性があるとして、患者に通知した。患者の氏名や住所、生年月日のほか、保険情報や医療情報も盗まれた可能性があるという。 (67,000)

 

Dade City

DataBreaches[.]netによると、Avaddonランサムウェアのオペレーターは、フロリダ州のデード・シティからデータを盗難したと主張している。盗難ファイルの中には、苦情や怪我などの警察署員の職務に関するものもあるようだ。

 

Taylor Made Diagnostics

Contiランサムウェアのオペレーターは、バージニア州のTaylor Made Diagnosticsを攻撃したと主張している。同アクターが盗難したとされるファイルの証拠を投稿したことで、患者の氏名、住所、生年月日、電話番号、社会保障番号の全部または一部、運転免許証、病歴などが漏洩した可能性があることが明らかになった。

 

Apex Laboratory

DoppelPaymerランサムウェアのオペレーターが、盗難したと思われるデータをアップロードした。2020年12月14日に同アクターが流出させた情報には、ロングアイランド島の患者の氏名や生年月日、社会保障番号、メディケアやメディケイドの番号、医療情報などが含まれている。(1,000人)

 

Total System Services

2020年12月8日、Contiランサムウェアのオペレーターが、決済処理会社から盗難したとされる10GB以上のデータを公開した。セキュリティ研究者のブライアン・クレブス氏は、漏洩したデータにはプリペイドカードの情報が含まれていたと報告している。

 

UiPath

2020年12月1日、ロボット工学オートメーションのスタートアップである同企業がデータ侵害に見舞われた。UiPath Academyのユーザーの名前、メールアドレス、ユーザー名、会社名、所在地などの個人情報が、不特定のオンラインソースに公開された。パスワードや財務情報は流出していない。

 

Cedar Springs Hospital

公告によると、コロラド州公衆衛生環境局(CDPHE)の調査員が、病院の患者の機密情報が入った外部記憶装置を「置き忘れた」という。暗号化されていないこの装置には、患者の名前、住所、生年月日、社会保障番号、健康保険情報、医療情報などが含まれていた。

イスラエル

Habana Labs

Pay2Keyランサムウェアのオペレーターは、同社から盗んだと主張するデータを公開した。流出したデータには、Windowsドメインのアカウント情報、ドメインのDNSゾーン情報、同社の開発コードレビューシステム「Gerrit」からのファイルリスト、ビジネス文書やソースコード画像などが含まれている。

 

中国

Chinese Communist Party

スカイニュースによると、中国の反体制派が、2016年4月の上海のサーバーから、上海を中心とした中国共産党員195万人と共産党支部7万9000人のリストを抽出したという。データベースには、国内外で活動している工作員の氏名、党の役職、誕生日、国民ID番号、民族などが記載されている。(1,950,000人)

 

英国

Fotor

2020年10月15日、セキュリティ研究者Jeremiah Fowler氏は、写真編集ツール「Fotor」に属する保護されていないデータベースに、1億2300万件以上のレコードが含まれていることを発見した。流出したデータには、テストデータや本番データなどの内部記録のほか、名前やメールアドレス、位置情報など1300万件のユーザー記録が含まれていた。

 

ロシア

Unknown

Cyble社の研究者が、ロシアのCovid-19患者の詳細がダークウェブのフォーラムで無料で共有されていることを発見した。データには、名前、生年月日、市民権の有無、パスポート、住所、医学分析、治療に関する詳細などが含まれている。

 

エチオピア

African Union

Kahawa Tunguの報告によると、脅威グループ「Bronze President」は、アディスアベバにあるアフリカ連合本部から監視ビデオを盗み出したとされる。同グループは、通常のトラフィックに紛れ込むように営業時間中のみ活動することで窃盗を偽装し、アフリカ連合から「膨大な量のトラフィック」を盗んだと報じられている。

 

タイ

Country Group Securities

DataBreaches[.]netによると、「ALTDOS」という名の脅威アクターが、同社とタイのニュースレポーターに接触し、Country Group Securitiesに対するサイバー攻撃を主張したという。攻撃は2020年12月4日に行われたととされる。同アクターは、公開ファイル共有サイトに同社に帰属するとされるいくつかのファイルを投稿しており、その中には顧客や従業員の個人情報や財務情報などの機密情報が含まれていると報告されている。

 

スウェーデン

Spotify

Spotifyは、特定のビジネスパートナーのユーザーのメールアドレス、表示名、パスワード、性別、生年月日などが流出した可能性があるインシデントを当局に報告した。これらのデータが流出したのは、2020年11月12日に発見された同社システムのソフトウェアの脆弱性によるものとされる。

 

 

銀行・金融に関連して言及されたマルウェア

このチャートは医療に関連して、先週トレンドとなったマルウェアを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

小売、ホスピタリティ

極めて標的性の高いフィッシングキャンペーンが、偽のSubwayの注文確認メールを介して英国のユーザーをターゲットにしている。メールには、Trickbotマルウェアをインストールする悪質なExcel文書へのリンクが含まれている。英Subwayは、同社のメールキャンペーンに使用されているサーバーが侵害されていたことを明らかにした。同社は、ゲストアカウントがハッキングされたことを示す証拠は見つからず、銀行やクレジットカード情報にも影響はないと述べている。

 

政府

ESETの研究者は、モンゴルの430の政府機関で使用されているAble Desktop経由で、HyberBroバックドア、Korplug RAT、Tmangerが配信されているのを観測した。このソフトウェアのアップデートシステムは、少なくとも2020年6月から侵害されているようで、トロイの木馬化されたインストーラが少なくとも2018年5月から配信されていた。「StealthyTrident」と名付けられたこのキャンペーンは、侵害されたデバイスへのアクセスをTA428共有している脅威グループ「LuckyMouse」と関連しており、どちらも同じ脅威アクターのサブグループと考えられている。また、研究者はShadowPadのバックドアとの関連性も確認している。

 

テクノロジー

FireEyeの研究者は、2020年春以降、ビジネスソフトウェアのアップデートを通じて配布されている「SolarWinds Orion」プラグインの「トロイの木馬バージョン」を発見した。現在進行中のサプライチェーン攻撃は、世界中のさまざまな政府機関、コンサルティング、テクノロジー、通信やその他組織を標的にしている。「SUNBURST」と名付けられたバックドアは、ファイルの転送と実行、システムのプロファイリング、デバイスの再起動、システムサービスの無効化などが可能。FireEyeの研究者は、この攻撃は「UNC2452」に起因するとしている。この攻撃について、米国の調査に詳しい3人の個人がロイターに伝えたところによると、ロシアが関与していると考えられているが、ロシア外務省は「根拠のない」疑いであるとして否定している。

 

金融

モバイルデバイス・エミュレータでなりすましデバイスをセットアップし、感染したアカウントにアクセスするモバイルバンキング詐欺キャンペーンが、IBMの研究者により発見された。被害アカウントは、以前にマルウェアに感染していたか、フィッシング・ページで収集したクレデンシャルが使われていた可能性が高いと考えられる。攻撃者は、各エミュレータが正規のデバイスとまったく同じか、ユーザーが追加した新しいデバイスとして表示されるように設定。自動化されたプロセスで、アカウント所有者のユーザ名と銀行口座のパスワードを含む感染したデバイスのログのデータベースから、すべてのデバイスの特性と技術的な仕様を照合する。操作には、一般に利用可能な正規のツールとカスタムアプリケーションが混在して使用されている。エミュレータ攻撃は、SMS経由でアクセスコードを取得するなど、オンラインアクセスが可能なあらゆるアプリケーションで動作する可能性があると研究者は指摘している。過去のインシデントでは20台以上のエミュレータが1万6000台以上のデバイスになりすまして数百万ドルが騙し取られた。

 

医療

CybelAngel社の研究者による医療機器のセキュリティに関する調査では、古い技術を使用している多くの機器が攻撃に対して脆弱であり、機密データが適切に保護されていないことが明らかになった。保護されていないサーバーやオープンウェブ上で4,500万件以上の医療関連のデジタル画像ファイルが発見されている。X線、MRI、CTスキャン、および個人を特定できる付随データが含まれている。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-04-10-december-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。