ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題になったデータ漏えいや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。
以下、翻訳です。
2021年6月17日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクトのトレンド
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く、オープンソース・ダークウェブ上で言及されたプロダクトを示しています。
データ流出
今週報告されたデータ流出の一部を示しています。
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
イスラエル
Cognyte
Comparitechの研究者は、過去のデータ侵害から収集された5,085,132,102件のレコードを含む、このサイバーセキュリティ企業が所有するデータベースを発見した。このデータベースは、2021年5月28日に初めて検索エンジンにインデックスされ、2021年6月2日に保護された。このレコードには、氏名、Eメールアドレス、パスワード、データの出所などが含まれていた。
米国
プレスクアイル市警察局
メイン州の同局から盗まれた約200GBのデータが、「Avaddon」ランサムウェアのリークサイトで公開された。流出データには、1970年代から現在までの1万5千件のEメール、捜査報告書、目撃証言が含まれている。
廃棄物管理リソース
2021年1月21日から1月23日の間に、26万8,510人の個人情報を含むファイルに不正な第三者がアクセスし、盗み出したことが判明した。
Arnoff Moving & Storage
同社は、2021年6月10日に最初に確認された不正アクセスで、顧客データが盗まれた可能性があると述べた。攻撃者は、同社から入手したと主張するデータサンプルを掲載しており、その中には氏名、連絡先、クレジットカード番号が記載されたフォームが含まれている。
Electronic Arts(EA)
ハッカーは、ソフトウェア開発キット、EAフレームワーク、Frostbiteエンジンのソースコード、FIFA 21、Battlefieldなどを含む、合計780GBのデータを同社から盗んだと主張している。EAは盗難を認めた。
Edward Don & Company
同企業はランサムウェア攻撃の標的となり、これが電話システム、ネットワーク、Eメールに影響を与えた。予防措置として、このフードサービスサプライヤーは、ネットワークの一部を閉鎖した。
OSF HealthCare System
この医療機関は2021年5月18日に標的となり、「Xing Team」は2021年6月3日に盗み取ったと主張する112GBの全データをリークした。このデータには、名前や検査の種類などが記載された患者のファイルが含まれている。
Coastal Family Health Center
同センターは、2021年5月24日に「Xing Team」のリークサイトに追加された。このグループは、同企業が協力を拒否したため、506GBの盗み出したデータのすべてをダンプした。リークされたデータの中には、個人を特定できる情報を含むファイルも含まれている。
Sol Oriens LLC
「REvil」ランサムウェアのオペレーターが、自らの被害者リストに同社を加え、盗んだと主張するデータをリークした。この企業は、米国エネルギー省国家核安全保障局の委託先企業。同社のウェブサイトは、2021年6月3日から利用できなくなっている。リークされたデータの一部は、従業員の氏名、社会保障番号、四半期ごとの給与を流出させた。
Arizona Asthma & Allergy Institute
同社は、2020年に発生したサイバー攻撃により、保護が限定的だった医療情報が影響を受けた可能性があるとし、データ漏洩の通知を行った。漏洩したデータには、氏名と患者識別番号の組み合わせ、プロバイダー名、健康保険情報などが含まれていた。DataBreaches[.]netは、「Maze」ランサムウェアのオペレーターが、標的となった企業を「Medical Management Inc」または「MedMan」として掲載していたと指摘した。
Five Rivers Health Centers
同社はフィッシング攻撃について一部の患者に通知している。この攻撃の結果、2020年4月1日から6月2日の間に攻撃者はEメールアカウントにアクセスした。これらのアカウントには、氏名、生年月日、住所、金融機関の口座番号、決済カード番号、運転免許証、社会保障番号などの個人情報および保護対象保健情報が含まれていた。
Carter’s
vpnMentorの研究者が、URL短縮ツールLincを介して提供されているCarterの荷物追跡ページのデータ侵害を発見した。研究者は、URLが簡単に発見できるようになっており、認証機能はなく、リンクの期限が切れるようになっていないことを発見した。確認ページには、氏名、住所、Eメールアドレス、電話番号、財務情報などが含まれていた。
マクドナルド
マクドナルドは、不正アクセスインシデントに遭い、米国内の従業員およびフランチャイズ加盟店の業務連絡先が流出したことを明らかにした。また、この不正アクセスで韓国と台湾の顧客および従業員のEメール、電話番号、住所も流出した。また、南アフリカとロシアの従業員も影響を受けている可能性がある。
Invenergy
2021年6月11日、このクリーンエネルギー企業は、同社の情報システムが不正な活動にさらされたことを公表した。「REvil」ランサムウェアのオペレーターは、同社から盗まれた4TBの情報を保有していると主張している。この中にはプロジェクトや契約データ、さらにInvenergyのCEOであるMichael Polsky氏の個人的なEメールも含まれている。
Intuit
TurboTaxアカウント(件数は未公開)が、他のソースから入手した認証情報を使った乗っ取りインシデントの中で侵害された。攻撃者は、影響を受けたアカウントに保存されていた名前、社会保障番号、住所、生年月日、運転免許証番号、および財務情報を入手した可能性がある。
Vicksburg Warren School District
「Grief」ランサムウェアのオペレーターが、最近発生したセキュリティ・インシデントの犯行声明を出し、内部文書や個人情報を含む同学区のサーバーから盗まれた10GBのデータを所持していると述べた。
AmeriGas
このプロパンガス会社は、同社のコンプライアンスサービスのベンダーであるJ. J. Keller社に対するデータ侵害の影響を受けていた。J. J. Keller社は2021年5月10日、従業員のフィッシングの試みが成功したことに端を発するデータ侵害を発見した。わずか8秒間のこのインシデントで、AmeriGasの従業員のLab ID、社会保障番号、運転免許証番号、生年月日が流出した。(123)
CVS Health
WebsitePlanetとJeremiah Fowlerは、1,148,327,940件のレコードが、パスワードで保護されていないデータベースを介して公開されていることを特定した。この情報は2021年3月21日に発見されたもので、合計204GB。公開されたデータには、構成設定、訪問者ID、セッションID、デバイス情報を示す生産記録などが含まれている。
フランス
Free
TechNaduは、同社の所有するデータベースへのアクセスを、ある脅威アクターが所有していると主張しているのを確認した。また、同じダークウェブフォーラムの他のアクターも、この被害者のデータへのアクセスを所有していると主張していた。同脅威アクターは、名前、Eメールアドレス、携帯電話番号、IPアドレスといった顧客の詳細情報を盗んだと主張している。
Pole-Emploi
Twitterユーザーらが、この国営求人サイトの個人的な求職者データがハッカーフォーラムで公開されているのを見たと報告した。セキュリティ研究者のOlivier Laurelli氏は、このアクターが名前、年齢、電話番号、Eメールアドレス、郵便番号などの求職者情報を含む120万件のレコードを販売したと考えている、と述べた。
タイ
ThailandIntervac
セキュリティ研究者のRichard Barrow氏は、タイのCOVID-19ワクチン接種サイトに、ユーザーの情報を公開させる欠陥があることを発見した。ログインすることにより、他のユーザーの名前、パスポート番号、所在地が明らかになる。
インド
CoWIN
DarkTracerの研究者は、「Dark Web Market」というダークウェブアクターが、COVID-19ワクチン接種登録サイトから盗んだ1億5千万件のレコードからなるとされるデータを販売しているのを確認した。このレコードには、氏名、携帯電話番号、Aadhaar ID、および地理的な位置情報が含まれているとされる。インドの保健省は、この主張は虚偽であるようだと述べた。
オランダ
国家警察
De Volkskrantは、ロシアのAPTグループがソフトウェアの脆弱性をエクスプロイトし、2017年9月にオランダ警察のネットワークに侵入したと報じた。この侵入は、当時は発見されなかったが、後にAIVD(総合情報保安局、オランダの情報機関)によって明らかにされたと報じられている。この攻撃は「APT29」によって行われ、「APT28」も関与していたとされる。この疑惑の侵入は、MH-17墜落事故の捜査と同時期に行われた。
サウジアラビア
GlobeMed Saudi Arabia
「Xing Team」は2021年5月6日、201GBのデータを盗んだと主張し、この医療機関を自身のリークサイトに追加した。2021年5月11日には100GBのファイルをダンプしたが、これには個人情報や慎重に取り扱うべき情報のほか、日常的な医療記録などが含まれている。
ドイツ
フォルクスワーゲン
同社は、顧客データが同社のベンダーの1つによって公開されたままになっていたと述べた。公開されたデータは、2014年から2019年までのデータに関するもので、2019年8月から2021年5月の間に自由にアクセスできる状態になっていた。漏洩したデータのほとんどに、氏名、郵便番号やEメールアドレス、電話番号が含まれていた。また、米国およびカナダの9万人以上の顧客の運転免許証番号、生年月日、社会保障番号などの情報が流出した。(3,300,000)
中国
AsiaPay
このオンライン決済プラットフォームは、2020年9月17日から2021年5月2日の間に、クレジットカードのデータ流出被害に遭った可能性があることを明らかにした。同社は加盟店に対し、データ流出の可能性があることを通知した。
Taobao
中国のポータルサイト163[.]comは、あるアフィリエイトマーケティング担当者がクローラーを使ってアリババ傘下の会社から10億以上のデータポイントを収集したと報じた。このスクレイピングは2019年11月から2020年7月にかけて行われ、その中でユーザー名や携帯電話番号などのデータが収集されていた。
英国
Gateley
この法律事務所は、自身のネットワーク上での不正な活動を特定したことを公表した。このインシデントにより、同社のデータの約0.2%が影響を受けた。影響を受けた情報には一部の顧客データが含まれている。
オーストラリア
UnitingCare Queensland
DataBreaches[.]netは、「REvil」ランサムウェアのオペレーターとUnitingCare Queenslandの代表者との間で行われた、このアクターが患者の個人情報を盗んだことを明らかにする身代金交渉の写しを確認した。「REvil」は、同社の交渉担当者に、指定された患者のパスポートコピーとインシデントレポートを見せていた。
医療に関連して言及されたマルウェア
このチャートは、医療に関連して先週話題となったマルウェアを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
小売・観光
過去30日間でCheck Pointの研究者は、アマゾンに関連する2,300件の新規登録ドメインを発見した。そのうち46%が悪意あるものと判断され、さらに32%が疑わしいものと判断された。これらの悪意のあるドメインは、2021年6月21日に開催されるセール「プライムデー」に関連していると考えられる。研究者はまた、アマゾンのカスタマーサービスを装ったフィッシングメールも観測した。このメールには、アカウント認証を促す内容が記載されており、これがユーザーを現在使われていないサイトに誘導する。さらに研究者は、日本のアマゾンのログインサイトを装った偽サイトも発見した。
政府
Crowdstrikeの研究者は、「DiplomaticOrbiter」と呼ばれる活動クラスタを2020年10月から追跡している。この攻撃の標的は、西側諸国のシンクタンクや機密政府機関だ。この高度なスピアフィッシング活動には、HTML ルアー・ドキュメントを使用した配信チェーンと、Cobalt Strike ビーコンの多段階のローディング・チェーンが含まれている。このキャンペーンで使用されたマルウェアは、EnvyScout、BoomBox、NativeZone、VaporRageなどのセキュリティ研究者によって監視されている。この活動は、ロシアの脅威アクター「COZY BEAR」によるものとされている。
テクノロジー
マイクロソフトの研究者は、複数のウェブサービスでホストされている大規模なビジネスメール詐欺(BEC)のインフラストラクチャを発見し、破壊した。このキャンペーンは、フィッシングによってメールボックスを侵害し、被害者の金融取引関連メールにアクセスすることを攻撃者に許す転送ルールを追加していた。フィッシングメールには、典型的な音声メッセージのルアーと、偽のマイクロソフトのサインインページに誘導する JavaScript を含んだ HTML 添付ファイルが使用されていた。ユーザーがパスワードを入力すると「ファイルが見つかりません」というメッセージが表示され、これと同時に JavaScript はユーザーの認証情報を攻撃者に送信していた。研究者は、さまざまな組織で侵害された数百のメールボックスを確認したが、メールボックスのすべてに同じパターンの転送ルールが存在していた。
重要インフラ
複数の偽デートアプリを介してスパイウェア「PJobRAT」の最新バージョンを配布する2021年1月に始まったキャンペーンを、360 Core Security Lab の研究者が発見した。このスパイウェアは2019年12月ごろから存在し、動画や音声の録音を行い、文書、WhatsApp のメッセージや連絡先、テキストメッセージなどを抜き取ることができる。主にインドの軍人を対象としたこのアプリは、軍事フォーラムで拡散され、サードパーティのアプリストアで配布されている。インストール後、アプリは WhatsApp や他のアプリのアイコンを模倣し、アプリ一覧に隠れるようになっている。TechNadu は、このマルウェアの背後に中国やパキスタンのアクターがいることを、今回の標的設定は示唆しているのではないかと推測している。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/