-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題となった「脆弱なプロダクト」「データ流出事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。
以下、翻訳です。
2021年6月24日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ流出・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
日本
スポーツクラブ NAS
2021年4月2日に発見されたランサムウェア攻撃で、この大和ハウスグループの子会社が標的となった。関与したランサムウェアはデータを盗むものではないと報告されているが、一部のレポートはデータが外部サイトに掲載されていることを示唆している。影響を受けたサーバーに保存されていたデータの種類には、150,084人の顧客の氏名、住所、生年月日、クレジットカード情報などが含まれていた。また、460名の従業員の氏名および生年月日も存在していた。(150,544)
日本
イトーヨーギョー
同社は、2021年6月10日に発生したランサムウェア攻撃について認めた。同社は自社サーバーに保存されている情報が流出したかどうかは確認できなかった。
米国
WorkForce West Virginia
同社は、2021年4月13日にMid Atlantic Career Consortium Employment Servicesのデータベースが権限のない人物からアクセスされていることを発見した。アクセスされたデータには、氏名、住所、電話番号、生年月日、社会保障番号が含まれていた可能性がある。
ベルギー
リエージュ市
リエージュ市がランサムウェアの攻撃を受け、市の職員がネットワークを停止し、オンラインサービスを中断するに至った。データが盗まれたかどうかはまだ不明。RTC Tele Liegeは、「Ryuk」ランサムウェアがこのインシデントの原因であると報告した。
米国
Reproductive Biology Associates
同社と関連会社のMyEggBank North Americaは、ランサムウェア攻撃に続くデータへの不正アクセスを受けたことを公表した。脅威アクターは2021年4月7日にシステムへのアクセスを入手し、体外受精に関わるデータを含むファイルサーバーを暗号化した可能性がある。影響を受ける情報には、氏名、住所、社会保障番号、検査結果、生年月日などが含まれている。
トルコ
Cosmolog Kozmetik
WizCaseは、このオンライン小売業者が所有する公開状態のAmazon S3バケットを確認した。公開されたデータには、ユーザーが多数のEコマースサイトで行った637,000件以上の注文が含まれていた。流出した情報には、氏名、住所、購入内容などが含まれている。一部のケースでは、電話番号やEメールアドレスも流出した。(567,000)
米国
Wegmans Food Markets
同社は、「これまでに発見されていない構成上の問題」により、同社の2つのクラウドデータベースが外部からアクセスされた可能性があることを公表した。影響を受けたデータには、顧客の名前、住所、電話番号、会員番号、およびEメールアドレスとアカウントパスワードが含まれている。
米国
Lightfoot, Franklin & White
このアラバマ州の法律事務所は、2021年4月17日に発見されたランサムウェア攻撃について、顧客に通知した。権限のないサードパーティが事件のファイルにアクセスし、原告、被告、証人、および非当事者の一部の情報を侵害した。この情報には、社会保障番号、その他の政府発行の身分証明書、および医療情報が含まれていた可能性がある。(6,145)
ドイツ
フォルクスワーゲン
2021年6月11日、同社は顧客や購入希望者に影響を与えるデータ不正アクセス被害に遭ったことを公表した。現在、1人のアクターが同社から盗んだとされるデータを販売しており、その中にはEメールアドレスや車両識別番号が含まれていると言われている。このアクターが投稿した2つのデータサンプルには、氏名、Eメールアドレス、住所、電話番号が含まれている。(3,300,000)
英国
Eggfree Cake Box
このベーカリーチェーンは、2020年4月27日に当時の決済処理プロバイダーからデータ不正アクセスインシデントの報告を受けていたことを明らかにした。権限のないサードパーティが同チェーンのウェブサイトをマルウェアに感染させ、このマルウェアが顧客の氏名、Eメールアドレス、住所、および決済カード情報を盗み取った。これらの情報は、その後、不正な購入に使用されている。BleepingComputerによると、このインシデントは「MageCart」攻撃である可能性が高いとのこと。
カナダ
CIUSSS de l’Est-de-l’Île-de-Montréal
この病院は、2021年5月下旬に始まった、同病院システムに対するサイバー攻撃を発見した。2,340名の医学実習生のIDが盗まれた可能性がある。また、苦情を申し立てた9人の患者の慎重に取り扱うべき情報を含むファイルが盗まれた。(2,349)
米国
Jones Family Dental
2021年4月15日から4月18日の間に、権限のないアクターが同クリニックの一部のコンピュータシステムへのアクセスを獲得した。影響を受けたシステムには、患者の氏名、住所、運転免許証番号、治療記録などが含まれていた可能性がある。
米国
The Woodruff Institute
2021年6月15日、「Pay or Grief」脅威アクターが、この診療所から盗んだとするデータを公開した。これらの情報には、損益計算書、指名された従業員のインセンティブ報酬などが含まれている。また、約50のファイルが患者のデータに関連しており、これらには名前、住所、生年月日、検査結果などの詳細が含まれていると報告されている。
マレーシア
RHB Banking Group
RHBの顧客複数名が、他の顧客の個人銀行口座の明細書を受け取ったと述べた。RHBによると、技術的な問題でこのエラーが発生したとのこと。また、一部の顧客は、自分のパスワードを使って他の顧客の電子明細書にアクセスすることができたと述べた。明細書上で公開されている個人情報には、氏名、自宅住所、取引履歴、給与の入金額、口座番号などが含まれている。
米国
Prominence Health Plan
ネバダ州のこの医療保険会社は、2020年11月に発生したデータ窃盗インシデントに関する通知を送付している。影響を受けたのは、2010年から2020年の間に同社でサービスを受けていた人々。音声記録を含むこの不正アクセスインシデントでは、患者の氏名、生年月日、性別などが影響を受けている。 (45,000)
米国
Coastal Medical Group
同社は、2021年3月25日に始まった同社システムへの不正アクセスを発見した。侵入者によって特定のファイルが盗まれ、患者の氏名、自宅住所、生年月日、社会保障番号、保険や治療に関する情報などが流出した可能性がある。
台湾
ADATA
2021年6月19日、「Ragnar Locker」ランサムウェアの攻撃者は、同社に属する700GB以上のデータのダウンロードリンクを公開した。アーカイブの名前から、BleepingComputerは、この脅威アクターが秘密保持契約や財務契約などのデータを盗んだ可能性が高いと推測した。
米国
Maximus
オハイオ州メディケイド局のデータ管理担当プロバイダーは、2021年5月17日から5月19日の間に、不正な人物がアプリケーションのデータにアクセスしたと述べた。これにより、氏名、生年月日、社会保障番号を含む、医療従事者の個人情報が盗まれた可能性がある。
NATO
未知の脅威アクターが、NATOが使用しているセキュリティ、統合、ホスティング情報管理の集中型SOA&IdMプラットフォームであるPolarisプラットフォームから、NATOのデータをコピーしたと主張している。攻撃者は、当初は同プラットフォームの製造元であるラテンアメリカのEveris社のデータを標的にしていたが、ドローンや軍事防衛システムに関連するNATOのデータや文書へのアクセスを入手して驚いたと報じられている。
オーストラリア
The Asia Pacific Network Information Centre (APNIC)
APNICは、Whois SQLデータベースの「ダンプ」ファイルがGoogle Cloudストレージのバケットにコピーされ、3か月間公開状態になっていたと述べた。公開されていたファイルには、APNICのWhoisメンテナとインシデント対応チーム(IRT)オブジェクトの認証情報がハッシュ化されて含まれていたほか、一部のプライベートWhoisオブジェクトも含まれていた。
米国
Wolfe Eye Clinic
このクリニックは、2021年2月8日に発生したサイバー攻撃の影響を受けたことを明らかにした。同社は、権限のない人物が同社のコンピュータネットワークにアクセスしたと述べた。アクセスされた可能性のあるデータには、氏名、住所、生年月日、社会保障番号などが含まれている。
パキスタン
Patari
2021年6月13日、この音楽ストリーミングサイトのデータベースがネット上にダンプされた。このデータベースには、ユーザーの個人情報やログインクレデンシャルが含まれており、ロシア語および英語のハッカーフォーラムで共有されている。このデータベースには、名前、Eメールアドレス、パスワードのハッシュ、プレイリスト、アバターのリンクが含まれている。ハッカーによると、このデータベースは、2021年5月以前に誤って設定されたMongoDBデータベース上で公開されていたとのこと。(257,000)
ブラジル
Grupo Fleury
2021年6月23日、この医療診断会社はサイバー攻撃の標的となったことを公表した。この攻撃は、「REvil」ランサムウェアグループによって行われたと報告されており、デクリプターを受け取って盗まれたとされるデータが公開されるのを防ぐための身代金500万ドルを要求していると言われている。
米国
タルサ市
この都市は、同市に影響を与えた2021年5月のランサムウェア攻撃について、18,000以上のファイルがネット上でリークされたという最新情報を発表した。「Conti」ランサムウェアのオペレーターが、この攻撃の犯行声明を出した。ファイルの大部分は、警察の出頭記録や同局の内部ファイルで、その中の一部には個人を特定できる情報が含まれている。これには、氏名、生年月日、住所、運転免許証番号などが含まれている。
米国
TidalHealth
この医療組織は、2021年2月に「CaptureRx」ランサムウェア攻撃とデータ侵害の影響を受けた。一部の患者データが侵害された。
米国
Bayhealth
この医療組織は、2021年2月に「CaptureRx」ランサムウェアの攻撃とデータ侵害の影響を受けた。侵害の程度はまだ不明。
重要インフラに関連して言及されたマルウェア
このチャートは、重要インフラに関連して先週話題となったマルウェアを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
医療
Windows マシンを最新バージョンの「Agent Tesla」で狙うフィッシングキャンペーンを、Bitdefender の研究者が確認した。標的は、添付された新型コロナ予防接種スケジュールを含むと称するメールを受け取る。実際には、この添付ファイルはMicrosoft Officeの既知の欠陥(CVE-2017-11882)を悪用するRTF文書だ。この文書にアクセスすると、「Agent Tesla」マルウェアがダウンロードされる。これらの攻撃のほとんどはベトナムのIPアドレスに端を発しており、メールの50%は韓国を標的とし、残りは世界中に分散していた。
政府
「LastConn」と名付けられ、「TA402」によるものとされる新しいマルウェアが、中東の政府機関や、同地域で外交関係を持つ組織を標的としていることをProofpointの研究者が確認した。このマルウェアは、「ハマス」のメンバーリストに言及するなど、地政学的なテーマを持った文書を添付したスピアフィッシングメールで拡散される。最近のキャンペーンでは、ジオフェンス付きのURLを含んだPDFが添付されていた。このURLは、マルウェアを含んだ、パスワード保護済みのRARアーカイブに誘導していた。また、Google Apps ScriptのURLをメールに直接記載し、パスワードで保護されたアーカイブや良性の「おとり」サイトにリダイレクトする手法も確認された。
銀行・金融
イタリアのオンラインバンキング・ユーザーを狙った、バンキング型トロイの木馬「Ursnif」による進行中のキャンペーンを、IBMの研究者が確認した。このマルウェアは、被害者のデスクトップを標的とし、被害者を騙してAndroidマルウェア「Cerberus」に感染させる悪意のあるモバイルアプリをダウンロードさせる。「Cerberus」は、銀行のSMSコードによる認証を回避するために使用される。実際の不正取引は被害者のデスクトップ上で行われ、被害者が自分の口座にアクセスできないように偽のメンテナンス通知が表示される。
重要インフラ
韓国主要野党の河泰慶(ハ・テギョン)議員は、2021年5月14日に韓国原子力研究所(KAERI)の内部ネットワークに13の不正なIPアドレスがアクセスしたと主張した。その中には、北朝鮮のアクター「Kimsuky」につながるアドレスもあったとされている。KAERIは、正体不明の部外者が、仮想プライベートネットワーク(VPN)の欠陥を利用してシステムの一部にアクセスしたことを確認した。また、2021年6月20日、現地メディアは、軍用造船会社である大宇造船海洋が2020年以降、北朝鮮による攻撃を繰り返し受けていたことを明らかにした。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/
