ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題となった「脆弱なプロダクト」「データ流出事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。
以下、翻訳です。
2021年7月1日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ流出・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
French Connection
「REvil」ランサムウェアグループに関連すると思われるグループが、このファッション企業を標的にして社内データを盗んだと主張している。このグループは、攻撃の証拠として、従業員のパスポートや身分証明書のスキャン画像をアップロードした。French Connection社は、サイバー攻撃の標的になったことを認めた。
米国
Made in Oregon
このギフト販売業者は、「Magecart」が同社のウェブサイトにスキマーをデプロイしたことによるセキュリティ侵害を公表した。このアクターは、2020年9月から2021年3月の間に顧客が注文フォームに入力した、氏名、Eメール、住所、クレジットカード情報を含むすべてのデータを取得した。
米国
DreamHost
Website Planetの研究者は、DreamPressと呼ばれるWordPressブログプラットフォームのホスティングプロバイダーが所有する、パスワードで保護されていないデータベースを発見した。このデータベースは、2018年3月から2021年4月までの日付の814,709,344件のレコードを公開状態にしていた。それらには、名前、メールアドレス、ユーザー名などのDreamPressアカウントの管理者情報、内部および外部のユーザーのメールアドレス、および一部のネットワーク情報が含まれていた。
米国
Hollingsworth LLP
ランサムウェア攻撃でこの法律事務所から盗まれたと思われるデータが、ダークウェブのマーケットプレイス「Marketo」に投稿された。合計で58GBのデータがアップロードされ、マーケットプレイスのユーザーによって71件の入札が行われた。
米国
メルセデス・ベンツ USA
一部の顧客や購入希望者の個人情報が、同社のベンダーの一社のクラウドストレージプラットフォーム上に公開状態で放置されていた。このデータは、2014年1月1日から2017年6月19日の間にディーラーおよびメルセデス・ベンツのウェブサイトで入力された情報に関連しており、自己申告のクレジットスコアと、少数の運転免許証番号、社会保障番号、クレジットカード情報、生年月日から成る。データ漏洩の調査は、160万件のレコードがアクセス可能になっているという報告を受けてから初めて開始された。これらの情報には、氏名、住所、電話番号、購入した車の情報などが含まれていた。(1,000)
アルゼンチン
政府
アルゼンチンの4つの政府系ウェブサイトから盗まれたと思われるデータが、ダークウェブフォーラムで売りに出された後、オープンウェブフォーラムにダンプされた。このデータには、サンペドロ市のウェブサイトの12,544人のユーザーのデータと、同市のプラットフォームや財政データへのアクセスキーが含まれている。他に影響を受けたウェブサイトは、メンドーサ市の司法関係当局、州職員の社会事業研究所、そしてサンニコラス市の名誉審議会のもの。
インド
Insolvency and Bankruptcy Board of India
倒産手続き中の企業の従業員のAadhaar(アドハー、インドの国民識別番号制度)とPAN(Permanent Account Number、インドにおける納税者番号)を明らかにする文書を、同機関が誤ってアップロードしてしまった。被害を受けた人の総数は確認できていない。
カナダ
Altus Group
この不動産ソフトウェアソリューション企業は、2021年6月14日にデータ侵害に遭った。この攻撃については、「Hive」と名付けられた新たなランサムウェアグループが、ダークウェブのリークサイト「HiveLeaks」で犯行を主張している。このグループは、Altusから盗まれたとされるファイルのサンプルをリークしており、その中にはビジネスデータや文書のほか、Argusの証明書や開発ファイルも含まれている。
米国
Hoya Optical Labs of America
この企業は、2021年4月5日に発覚したランサムウェア攻撃の標的となっていた。攻撃者は、同社から盗んだとされる情報を公開した。これには、患者の氏名、住所、社会保障番号、金融情報が含まれている。(3,259)
米国
Beacon Health Solutions
同社は、2020年10月5日に、ユーザーによるシステムやデータへのアクセスを妨げていたデータ侵害を発見した。権限のないアクターが、氏名、住所、社会保障番号、運転免許証、医療・健康保険情報などの個人情報を同社のサーバーから盗み出した。Beacon社の顧客であるノースカロライナ州のCare N’ Care Insurance Companyの顧客もこのインシデントに関与していた。
米国
Elekta
2021年4月6日、この高精度放射線医療のプロバイダーがデータセキュリティインシデントに見舞われ、同社の事業提携者の患者データが流出した。ネバダ州のRenown Healthやオクラホマ州南西部のCancer Centersの患者の、氏名、社会保障番号、住所、生年月日、医療情報が流出した。この侵害では、この他にも40以上の医療機関が侵害された可能性がある。
イスラエル
AcadeME
「DragonForce Malaysia」は、この学生就職支援会社をハッキングしたと主張している。2021年6月28日、AcadeMEのウェブサイトはオフラインになっており、「すぐに復旧します」という声明が出されていた。「DragonForce」はまた、学生のEメール、パスワード、姓名、住所、電話番号など、同社から奪ったとされるデータをリークした。データは2014年にさかのぼるものとされている。同じ日にこのグループは、「大量の」イスラエルのパスポートをリークしたとも主張した。(280,000)
米国
Restore Privacyの研究者は、LinkedInユーザーのデータを販売するという2021年6月22日付けのフォーラム広告を発見した。この投稿では、100万人のユーザーのデータサンプルが提供されており、その中には、氏名、Eメール、住所、電話番号、位置情報記録などが含まれていた。研究者はこのサンプルを分析した上で、これが本物であり、最新のものであると考えている。(700,000,000)
米国
Washington County Healthcare Organisations
メイン州ワシントン郡の複数の医療機関が、2021年2月のCaptureRx社へのデータ侵害により影響を受けた。侵害された組織は、Calais Regional Hospital、Eastport Health Care Inc、Regional Medical Center at Lubec、St. Croix Regional Family Health Center、そしてEast Grand Health Center。(5,000)
米国
WSSC Water
メリーランド州のこの水道会社が、2021年5月24日にランサムウェア攻撃を受けた。攻撃者は内部ファイルにアクセスした。個人情報が流出したかどうかは不明。
米国
NewsBlur
この個人向けのRSSニュースリーダーは、新しいDockerサーバーへの移行中にMongoDBデータベースが公開状態になっていた間に、サイバー攻撃の標的となった。攻撃者は、データベースをコピーし、オリジナルを削除した。
米国
UofL Health
このケンタッキー州の医療システムは、同システムのネットワーク外のEメールアドレスに誤ってデータが送信された際に発生したデータ漏洩について患者に通知している。(42,465)
米国
Frederick Public Schools
同校は数か月前にランサムウェア攻撃の標的となった。DataBreaches[.]netは、データリークサイトにダンプされていた同学区に属するファイルを発見した。これには、2018年から2020年までの人事給与関連情報やベンダーの支払い情報が含まれていた。少なくとも1つのファイルには社会保障番号が記載されており、一部のファイルには生徒の名前や情報も含まれていた。
米国
University Medical Center of Southern Nevada
「REvil」ランサムウェアのオペレーターは、自身のデータリークサイトにこの大学を追加した。このリストには、攻撃がいつ行われたのかや、どれくらいのデータが盗まれたのかは明記されていない。アクセスの証拠として、運転免許証、パスポート、社会保障カードの画像が少数ダンプされていた。同組織はこのインシデントを認めた。
インド
Salesken
このインドのスタートアップ企業が所有する保護されていないサーバーにより、顧客であるByju’sのデータが漏洩した。流出したデータは、主にオンラインコーディングスクール「WhiteHat Jr」に関するもので、生徒の氏名、メールアドレス、親や教師の電話番号、親や職員のチャットログなどが含まれている。
米国
Physicians Dialysis
フロリダ州のこの医療プロバイダーは、データベースへの不正アクセスを2021年3月21日に発見した。影響を受けたデータベースには、氏名、住所、生年月日、社会保障番号、医療情報、健康保険の詳細など、現在および過去の一部の患者に属する保護対象健康情報が含まれていた。
英国
救世軍
The Registerは、正体不明のランサムウェア攻撃者が救世軍を標的にしたと報じた。このインシデントはロンドンのデータセンターに影響を与えたと報告されており、同組織は1か月ほど前にこの攻撃に気づいた。救世軍は、攻撃者がアクセスしたデータの量や種類について明らかにしていない。
米国
Peoples Community Health Clinic
このクリニックは、2021年3月18日から3月22日の間に、従業員のメールアカウントに権限のない人物がアクセスしたことを明らかにした。漏洩した可能性のある情報は、氏名、住所、社会保障番号、生年月日、運転免許証番号、決済カード情報、医療情報など。
米国
Penn Foundation
2021年6月29日、この行動保健学・薬物乱用に関する非営利団体は、複数の顧客に対し、ランサムウェア攻撃に関連したデータ盗難インシデントの可能性について通知した。
銀行・金融に関連して言及された攻撃タイプ
このチャートは、銀行・金融に関連して先週話題となった攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
米国金融取引業規制機構(FINRA)は、同機構を装ったフィッシングキャンペーンについてユーザーに警告した。このメールは、FINRAサポートを装い、添付のレポートを閲覧するよう指示している。送信者のアドレスには、FINRAとは無関係のドメイン名「Westour」が使用されている。
小売・観光
Malwarebytesの研究者は、セキュリティ研究者のEric Brandel氏とJordan Herman氏が2021年6月上旬に初めて報告したウェブスキマー「Lil’ Skim」を分析した。このスキマーの最も古いインスタンスは、2020年3月にさかのぼる模様。このスキマーは、「Magecart」の脅威アクターがよく行うようにGoogleにちなんでドメイン名を付けるだけでなく、フィッシングサイトでよく見られるように、侵害したウェブサイトの名前にちなんでドメイン名を付ける。トップレベルドメインは「.site」、「.website」、または「.pw」と入れ替えられており、作成されたホストがスキマーコードを読み込み、盗まれたクレジットカードデータを受け取る。
教育
親パレスチナのハッカー集団「DragonForce Malaysia」は、Telegramのメッセージの中で、学生の就職を支援する企業であるイスラエルのAcadeMEをハッキングしたと主張した。2021年6月28日、AcadeMEのウェブサイトはオフラインになっており、「すぐに復旧します」という声明が出されていた。「DragonForce」はまた、同社から持ち出したとされる、約28万人の学生のEメール、パスワード、姓名、住所、電話番号などのデータをリークした。これらのデータは2014年にさかのぼるものとされている。
重要インフラ
フォーティネットの研究者は、航空会社を狙った、かなり標的を絞ったスピアフィッシングキャンペーンを発見した。このキャンペーンでは、キーロギングを利用して認証情報を盗むリモートアクセストロイの木馬(RAT)「AsyncRAT」が配信される。また、送信者を偽装して民間航空局(General Civil Aviation Authority)になりすまし、PDFの添付ファイルに見せかけた悪意のあるリンクを含むメールが送信される。このフィッシングメールを配信しているIPアドレスは、2021年4月と5月に航空をテーマにしたキャンペーンで使用された「Snip3 Crypter」に関連している。しかし、このRATローダーは前回の「Snip3」キャンペーンとは異なるPDB文字列を含んでいるため、別の作者によるものである可能性が高い。
テクノロジー
現在進行中のマルバタイジング・キャンペーンをConfiantの研究者が発見した。このキャンペーンでは、Yahooの検索結果を表示する前にユーザーを中間ドメインにリダイレクトするために、一見無害に見えるGoogle Chromeブラウザの拡張機能が使用される。この拡張機能の作者は、Yahooのアフィリエイトであることが判明している。これは、作者がスポンサー付き検索のクリック数に応じて手数料を受け取っているということを意味する。悪意のある拡張機能がChromeウェブストアで利用可能なのは、通常数日から1週間の間だ。ある拡張機能では、1日あたりのユーザー増加数が1,000人だった。拡張機能はChromeウェブストアから削除された後もローカルに存続し続けると、研究者は警告している。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-25-june-01-july-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/