国土交通省、メルカリ、Omiai、ダイハツディーゼルでの不正アクセス被害の概要など | ウィークリー・サイバーダイジェスト – 2021年5月21日〜5月27日 | Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > NEWS > 国土交通省、メルカリ、Omiai、ダイハツディーゼルでの不正アクセス被害の概要など | ウィークリー・サイバーダイジェスト – 2021年5月21日〜5月27日

国土交通省、メルカリ、Omiai、ダイハツディーゼルでの不正アクセス被害の概要など | ウィークリー・サイバーダイジェスト – 2021年5月21日〜5月27日

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

 

以下、翻訳です。

 

2021年5月27日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く、オープンソース・ダークウェブ上で言及されたプロダクトを示しています。

 

 

データ流出

今週報告されたデータ流出の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

 

日本

メルカリ

このEコマース企業は、Codecovへのサプライチェーン攻撃により、数千件の顧客記録が流出したことを公表した。この中には、2014年に行われた取引の財務記録17,085件が含まれており、銀行コード、支店コード、口座番号、口座名義人、送金額などが流出した。影響を受けたその他のデータには、取引先や従業員などの記録が含まれており、氏名、生年月日、所属、Eメールアドレス、その他の詳細が流出した。

 

Omiai

このオンライン・マッチチングサービスのプロバイダーは、2021年4月20日から4月26日にかけ、サーバーへの不正アクセスインシデントの標的となった。脅威アクターが会員の運転免許証、健康保険証、パスポートの画像を盗み出した可能性がある。(1,710,000)

 

国土交通省

同省は、内部のメールデータとともに、職員やビジネスパートナーのメールアドレスが流出したと報告した。このインシデントは、富士通の情報共有ソフト「ProjectWEB」の侵害により引き起こされた。(76,000)

 

英国

ダイハツディーゼル株式会社

2021年5月14日、ダイハツのヨーロッパ事業がサイバー攻撃の標的となった。同社は、社内システムのファイルサーバーへのアクセスを困難にしたサードパーティによる不正アクセスを発見した。

 

One Call

このドンカスターの保険会社は、2021年5月13日に発生したランサムウェア攻撃を公表した。「DarkSide」ランサムウェアのオペレーターは、1,500万ポンドの身代金を要求し、盗んだとするデータを流出させると脅迫した。そのデータにはパスワードや銀行情報などの顧客情報も含まれると報じられている。

 

米国

Betenbough Homes

「REvil」ランサムウェアのオペレーターは、テキサス州の建設業者に対する攻撃を主張した。同社は、2021年5月3日に「ロシアのサイバー犯罪者」によって引き起こされたシステム侵害を認め、攻撃者が一部の繊細に取り扱うべき個人情報を入手したと述べた。「REvil」のオペレーターは、自分たちの主張を証明するものとして、運転免許証の画像を数枚掲載している。

 

Bose

Boseは、2021年3月7日に検出された同社システムへのランサムウェア攻撃の後、データ漏洩が発生したことを公表した。攻撃者は、少数の人事スプレッドシートにアクセスし、現在および過去の従業員の氏名、社会保障番号、給与などを流出させた可能性がある。

 

Spine & Disc Medical Center

「Avaddon」ランサムウェアのオペレーターは、リークサイトにこのクリニックを追加し、攻撃の証拠として一部データを共有した。攻撃者は、医師免許、納税証明書、医療機関情報、画像、顧客情報などを盗んだと主張している。

 

Zocdoc

この医療予約会社は、「プログラミング・エラー」により、医療機関や歯科医院の現従業員および元従業員が、ユーザー名とパスワードが使えなくなるべきだったにもかかわらず、同社のポータルにアクセスできてしまったことを公表した。ポータルサイトに保存されていたデータには、患者の氏名、Eメールアドレス、電話番号、予約情報、社会保障番号、保険の詳細、病歴などが含まれている。(7,600)

 

Auto Parts Manufacturing Mississippi

同社はランサムウェアの攻撃を受けた。これにより一部の財務データおよび顧客データが盗まれ、流出した。

 

アラスカ保健社会サービス局

同局のウェブサイトがマルウェアの攻撃を受け、一部のオンラインサービスが停止した。機密情報や個人情報が漏洩したかを判断するための調査が現在行われている。

 

Adirondack Health

この医療機関は、ベンダーであるCaptureRx社に対するランサムウェア攻撃の影響を受けた。この攻撃では、患者の氏名、生年月日、処方箋情報、医療記録番号などの個人情報が盗まれた。(877)

 

The Beech Acres Parenting Center

Cincinnati centreは、2020年12月29日から2021年3月18日の間に、権限のないアクターが一部の従業員のEメールアカウントにアクセスしたことを発見した。 Eメールの一部には、氏名、生年月日、医療情報、そして場合によっては健康保険情報や社会保障番号などの顧客情報が含まれていた。

 

CEFCO

ハッカーは、ガソリンスタンド・コンビニエンスストアのチェーンであるCEFCOから盗んだとされる42GBのデータを、新しい漏洩データマーケットプレイス「Marketo Leaks」に投稿した。公開されたデータには、顧客、パートナー、競合他社に関する財務文書、契約書、口座リスト、予算報告書などが含まれている。

 

Harper County Community Hospital

同病院は、2021年3月24日にランサムウェア攻撃の標的となり、患者のデータが漏洩した。影響を受けた情報には、社会保障番号、生年月日、住所、患者の口座番号、医療診断、健康保険の詳細が含まれる。(5,725)

 

クローバーパーク学区

同校での「技術的な問題」を引き起こしたシステム障害を受け、調査が行われている。KIRO 7に送られてきたスクリーンショットには、支払いをしなければ機密情報を流出させると脅すサイトへのリンクが表示されている。これは、ランサムウェア攻撃によく見られる脅迫だ。

 

マリエッタ学区

複数の従業員のEメールアカウントがハッキングされていた。その一部は2018年から侵害されていたと考えられている。マリエッタ警察のAaron Nedeff警部によると、学生の情報は影響を受けていない可能性が高いとのこと。

 

Commport Communications

カナダ郵便公社の電子データ交換業者であるCommport Communicationsがランサムウェア攻撃の標的となり、大口法人顧客44社のデータが漏洩した。漏洩した記録に関しては、荷物の受取人の名前と住所がリークの97%を占め、残りの分にはEメールアドレスや電話番号が含まれる。(950,000)

 

フランス

ISERBA Group

この不動産管理会社は自社のウェブサイトに、同社のITサービスがハッキングされたという旨の告知を掲載した。

 

オーストラリア

TPGテレコム

TPGテレコムは、2021年8月末に退役予定の同社の古い「サービスとしてのIT」プラットフォームである「TrustedCloud」が、未知の攻撃者によって侵害されたことを公表した。(2)

 

インドネシア

医療保険実施機関

Cyble Incの研究者は、医療保険実施機関から盗まれたインドネシアの住民に属するデータを所有していると主張する「kotz」と呼ばれる脅威アクターを特定した。データの中には、氏名、生年月日、携帯電話番号、EメールID、国民識別番号、そして場合によっては年収が含まれている。(200,000,000)

 

トルコ

不明

TechNaduの研究者は、300以上のトルコの賭博サイトのユーザー情報を含むデータベースがインターネット上で販売されているのを目撃したと報告した。販売者によると、データベースの90%には、ユーザー名、フルネーム、IPアドレス、電話番号、Eメールアドレス、そしてさまざまなアクティビティの詳細が含まれているとのこと。情報の日付は2019年8月から2021年5月の間となっている。

 

インド

Finolex

「Conti」ランサムウェアのオペレーターが、インド最大のケーブルメーカーを攻撃したと主張している。このアクターは、従業員の個人情報、財務書類、顧客データベース、契約書、販売報告書を含む、439GBのデータを盗んだとされている。漏洩した可能性のある従業員データには、住所、電話番号、パスポートのスキャンデータなどが含まれる。また、顧客の配送先住所、電話番号、Eメールアドレスなども流出した可能性がある。

 

エア・インディア

エア・インディアは、2021年2月に初めて公表された航空業界のIT企業SITAに対する攻撃により、同社の乗客に属するデータが盗まれたことを明らかにした。情報は2011年8月26日から2021年2月3日までのもので、氏名、生年月日、クレジットカード情報、パスポート情報、連絡先などが含まれている。(4,500,000)

 

インド

Bruhat Bengaluru Mahanagara Palike(BBMP)

Free Software Movement of Indiaは、BBMPが扱っているベンガルールでのCOVID-19検査のデータ記録が、その請負業者であるXyram Software Solutionsによって公開されていたことを発見した。このリークは、BBMPの「公衆衛生活動、監視・追跡(Public Health Activities, Surveillance and Tracking)」ウェブサイトに影響を与えたと報告されている。10桁の携帯電話番号をXyramsoft社のサイトに入力することで、カルナータカ州で検査を受けた人全員の個人データにアクセスできた可能性がある。

 

ニュージーランド

ワイカト地区保健委員会

ワイカト地区保健委員会に対する最近のランサムウェア攻撃を首謀した脅威アクターが盗み取ったと主張する、個人情報や患者情報と見られるものを、ジャーナリストが受け取っている。攻撃者は、患者の機密書類、スタッフの詳細、財務情報を所有していると述べた。

 

ベルギー

連邦政府内務省

この省は、「Hafnium」に関連するMicrosoft Exchange のエクスプロイトを利用した、中国に関連すると考えられるサイバー攻撃の標的となった。この攻撃は2019年4月にさかのぼるが、2021年3月になってやっと発見された。この攻撃は、人口登録、選挙や危機管理のデータ、警察のデータベースなどを管理する同省が収集する情報を標的にしていた、と報じられている。

 

ドイツ

Möbelstadt Sommerlad

この家具小売業者は最近、「DarkSide」ランサムウェアの標的となったことを公表した。セキュリティ研究者のChum1ng0氏によると、同社は現在、「REvil」ランサムウェアのデータリークサイトに掲載されているとのこと。この脅威アクターは、175GB以上のデータを所有していると主張しており、その証拠としていくつかのスクリーンショットをアップロードした。

 

その他

DailyQuiz

以前のサイトのデータベース漏洩に続き、DailyQuizのユーザーデータがネット上に流出した。同サービスは、自身のウェブサイト上のメッセージにおける漏洩を認めた。流出したデータには、830万アカウントのパスワード、Eメール、IPアドレスが平文で含まれている。(12,800,000)

 

 

政府に関連して言及された攻撃タイプ

このチャートは、政府に関連して先週話題となった攻撃タイプを示しています。

 

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

銀行・金融

北朝鮮関連アクター「Tallium」による新たなキャンペーンをEast Securityの研究者が確認した。このグループは、北朝鮮問題に取り組む個人を特に標的としていることで知られている。「Thallium」は、金融取引の通知を装ったフィッシングメールを使用しており、韓国国内の銀行になりすましている。このメールのデザインは、正規の通知に似ている。メールには Excel の添付ファイルが含まれており、添付ファイルはユーザーを騙して悪意のあるマクロコードを有効にさせる。この攻撃は、情報漏えいにつながる可能性があり、被害者のネットワークを通じて広がる可能性がある。

 

政府

米国の法執行機関は、Texas Workforce Commission のウェブサイトを通じて失業者の身元詐称を行う方法に関連した、ステップ・バイ・ステップのチュートリアルを発見した。このチュートリアルは、ナイジェリアのサイバー犯罪組織「Scattered Canary」の WhatsApp グループのチャットに投稿されたもの。このグループは、ダークウェブで入手した盗んだIDを使って、給付金請求を行っている。「Scattered Canary」は、プリペイドカード「Green Dot」を使用し、請求にフラグが与えられる前に海外に資金を流出させる。

 

テクノロジー

「XCSSET」マルウェアによって悪用されるApple macOSの脆弱性を、Jamf Protectの研究者が発見した。CVE-2021-30713として追跡されるこのゼロデイ欠陥は、Transparency Consent and Control フレームワークを回避し、攻撃者がユーザーの明示的な同意なしに、ディスクへのフルアクセス、画面記録機能、およびその他の許可を得ることを可能にしていた。「XCSSET」のオペレーターは、この問題を利用して被害者のデスクトップのスクリーンショットを撮影していた。このマルウェアは、新たに発見された欠陥を利用するために、Zoomなど、既存の画面録画権限を持つ提供者のアプリケーションにカスタムのAppleScriptを注入する。この問題は、macOSバージョン11.4以上で修正されている。

 

医療

インドのユーザーを狙う新型コロナワクチン接種登録詐欺を、Cybleの研究者が確認した。詐欺師たちは、正規の組織の職員を装って被害者候補に電話をかけ、ワクチンの登録を行うと称して、名前、生年月日、Aadharカードなどの情報を聞き出す。その後、被害者は騙され、Aadhar番号に関連するワンタイムパスワードを提供させられる。詐欺師は、提供された詳細情報を使って不正な金融取引を行う可能性がある。

 

暗号通貨

Docker Linuxシステムを「XMRig」で狙う進行中の暗号通貨マイニングキャンペーンを、Sentinel Labsの研究者が確認した。このマルウェアは、特定のエクスプロイト・コンポーネントではなく、複数の難読化手法に依存している。攻撃には複数のシェルスクリプトが使用され、そのうちの1つは base64 エンコーディングの複数のパターンを再利用しており、研究者はこれを脅威アクターが経験不足である証拠と見ている。攻撃者はステガノグラフィーを用いて検出を回避し、ELFバイナリを含むJPEGファイルをダウンロードする。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-21-27-may-2021/

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/