ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。
本日のピックアップ記事はこちらです(赤いリンクをクリックすると、このページ内の当該記事に移動します)。
・SonicWall製品にランサムウェア攻撃の「差し迫ったリスク」 「SMA100」と「SRA」の脆弱性が標的に(「テクノロジー」)
・ロンドン大学・東洋アフリカ研究学院のスタッフになりすまして認証情報を狙う攻撃を確認(「教育」)
・中国の国家支援アクター「TAG-22」が台湾ITRI、フィリピン情報通信技術省、ネパール・テレコムなどを盛んに狙う(「重要インフラ」)
以下、翻訳です。
2021年7月15日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
Guess
2021年2月2日から2月23日の間に、このファッション小売業者のシステムに不正アクセスがあったことが調査の結果、判明した。顧客の社会保障番号、運転免許証番号、パスポート番号、金融口座番号などがアクセスされた、もしくは盗まれた可能性がある。DataBreaches[.]netは、ランサムウェア「DarkSide」のオペレーターが自らのデータリークサイトにGuessを掲載していることを2021年4月に報じていた。(1,300)
米国
脅威アクターがこの4か月間で3度目となる大規模なデータスクレイピングをLinkedInに対して行った模様。販売者は、プロフィール632,699件とユーザーのEメールアドレス154,204件を含むデータのサンプルを共有した。影響を受ける情報には、LinkedInのID、フルネーム、メールアドレス、生年月日、所在地などが含まれていると報告されている。(600,000,000)
米国
Millennia Companies
オハイオ州のこの住宅管理会社は、一部の従業員のメールアカウントが2019年10月21日から12月18日にかけて不正な人物にアクセスされたことを公表した。被害を受けたアカウントには、フルネームのほか、社会保障番号、パスポート番号、デビットカードやクレジットカードの情報、ユーザー名、パスワードなどが含まれていた。
ニュージーランド
Symes de Silva
ウェリントンにあるこの歯科医院は、メールサーバーにマルウェアがインストールされた2021年4月のサイバー攻撃を公表した。このサーバーには、患者の氏名、生年月日、電話番号、住所、一部の医療情報が含まれていた。
米国
HX5
「REvil」ランサムウェアのオペレーターは、フロリダに拠点を置くこの防衛関連企業から23GBのデータを盗んだと主張している。盗まれたものの一部のスクリーンショットは、2021年7月7日に同アクターのブログで公開された。スクリーンショットにより、社会保障番号などの従業員の詳細情報や、HX5幹部の個人データが暴露されている。
米国
モルガン・スタンレー
モルガン・スタンレーは、サードパーティベンダーであるGuidehouse社における、Accellion FTAサーバーへの不正アクセスによって影響を受けたことを公表した。2021年1月の不正アクセスにより、モルガン・スタンレーのStockPlan Connect参加者のデータ(氏名、住所、生年月日、社会保障番号、法人企業名など)が盗まれた。
米国
CNA Financial
同社は、「Phoenix CryptoLocker」の攻撃者が2021年3月5日から3月21日の間に複数回にわたってCNAのさまざまなシステムにアクセスし、「限られた量」のデータをコピーしたことを明らかにした。影響を受けるデータには、従業員、契約社員、扶養家族の氏名、社会保障番号、そして場合によっては医療給付に関連するデータが含まれている。(75,359)
米国
Forefront Dermatology
攻撃者が2021年5月28日から6月4日にかけて患者および従業員のファイルにアクセスした。これには、氏名、住所、生年月日、患者のアカウント番号、診療記録番号などが含まれる。Databreaches[.]netによると、この攻撃は「Cuba」ランサムウェアを用いて行われ、脅威アクターは同社のデータの一部をダンプしたとのこと。
米国
Practicefirst Medical Management Solutions
同社は、ランサムウェア攻撃者が同社のシステムからファイルをコピーしたことを2020年12月30日に発見したと公表した。盗まれたデータには、氏名、住所、社会保障番号、請求情報、従業員のユーザー名とパスワードなどが含まれる。(1,200,000)
米国
Northwestern Memorial Healthcare
サードパーティサービスを提供するElekta社はNorthwestern Memorialに対し、不正アクターが2021年4月2日から4月20日の間にそのシステムにアクセスしたことを通知した。侵入者は、患者名、生年月日、社会保障番号、健康保険情報などの腫瘍患者データを保存するデータベースをコピーした。
米国
Dotty’s
このネバダ州の企業は、個人識別情報が盗まれたデータ漏洩について顧客に通知した。これには、氏名、誕生日、運転免許証番号などが含まれる。(300,000)
スイス
Comparis
この消費者向けアウトレットは、ランサムウェアの攻撃を受け、システムの一部が使用不能となった。また、この攻撃により、姉妹会社であるCredaris社の顧客データに第三者がアクセスできるようになった。
米国
Mint Mobile
同社は、少数のMint Mobile契約者が2021年6月8日から6月10日の間に脅威アクターによって電話番号を他の通信事業者に移植されたとするデータ漏洩の通知を、影響を受ける契約者に送った。また、名前、住所、Eメール、パスワード、[電話の]呼詳細情報など、契約者の個人情報がアクセスされた可能性がある。
米国
Bank of Oak Ridge
同銀行は、2021年4月26日から4月27日の間に発生したデータ漏洩について通知する文書を、影響を受ける顧客に送った。漏洩で被害を受けたデータには、氏名、社会保障番号、銀行口座番号などが含まれている。
米国
York Animal Hospital
同院は、2021年7月4日の週末にランサムウェア攻撃を受け、4年分の患者記録が被害を受けた。同院のオーナーは、財務記録はアクセスされておらず、顧客は個人情報が狙われることを心配する必要はないと述べた。
米国
ClearBalance
カリフォルニアを拠点とする同社は、2021年3月8日のフィッシング攻撃により、権限のないアクターが従業員のメールアカウントにアクセスしたことを明らかにした。このアクセスは、2021年4月26日に検出された。メールアカウントに含まれるデータは、患者の氏名、社会保障番号、生年月日、個人の銀行情報など。(209,719)
米国
The Clover Park School District
同学校[区]は、以前に報告された「Pay or Grief」によるランサムウェア攻撃を公表した。この通知により、脅威アクターが2021年5月12日から5月26日の間にシステムのデータを閲覧または抽出した可能性があることが明らかになった。以降、攻撃者は社会保障番号、氏名、生年月日、住所など、盗んだと主張するデータをネット上にダンプしている。(1,583)
オランダ
ITxx
同社は、2021年7月2日のランサムウェア攻撃の標的となった。攻撃者は、同社とその50のホスティングクライアントに属するすべてのデータとEメールを暗号化した。クライアントは自分のデータやバックアップにアクセスできなくなった。
ドイツ
Spread Group
Spread Groupはサイバー攻撃を受けたことを公表した。この攻撃の結果、攻撃者は顧客、パートナー、従業員、外部サプライヤーの所在地や契約データにアクセスした。また、手数料の支払いを受け取っているパートナーの銀行口座番号とPayPalアドレス、および「少数のお客様」の支払い情報にも影響が及んだ。
医療に関連して言及されたマルウェア
このチャートは、医療に関連して先週話題となったマルウェアを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
暗号資産
2021年5月、Bitdefenderの研究者は、Moneroの採掘に焦点を当てたクリプトジャッキング・キャンペーンの調査を開始した。研究者らは、さまざまなマルウェアをホストするのに使用されていた、グループとつながりのあるサーバーと関連ドメインを特定した。サーバー上の複数のアーカイブには、脆弱なSSH認証情報でLinuxサーバーにアクセスするためのツールチェーンが含まれる。ブルートフォースには、「Diicot Brute」ツールが使用されている。研究者らは攻撃者たちがこれを開発したと考えている。攻撃者たちは、2020年から活動しており、Bitdefenderはこのグループがルーマニアを拠点としている可能性が高いと考えている。このグループは、「Perl IRC」ボットや、「Chernobyl」として追跡されている「Demonbot」の亜種など、複数の分散型サービス拒否ボットネットにも関連づけられている。
教育
Proofpointの研究者は、「SpoofedScholars」と呼ばれるキャンペーンを確認した。同キャンペーンでは脅威アクター「TA453」が、ロンドン大学の東洋アフリカ研究学院(SOAS)のスタッフになりすましていた。標的となったのは、シンクタンクの上級職員、中東問題を専門とするジャーナリスト、教授。このキャンペーンでは、最初に長い会話を交わした後、標的にオンライン会議の登録リンクが送信される。このリンクは、さまざまな認証情報を取得しようとする、ロンドン大学SOASラジオの侵害されたウェブサイトにつながる。その後の攻撃では長い会話なしに早い段階でリンクが送信されたほか、個人のメールアカウントが標的にされた例もあった。「TA453」は、イラン政府との関係が指摘されており、研究者は、このグループが情報収集においてイスラム革命防衛隊を支援していると高い確度で評価している。
政府
Zerde National Infocommunication Holding JSCは、複数の水飲み場型攻撃の調査の結果、カザフスタンの電子政府ポータルの一部で「Razy」マルウェアが検出されたと報告した。攻撃者は、同ポータルの2つのサイトのアップロード機能へのアクセスを入手した可能性が高い。攻撃者は、2021年にアップロードされたと思われる、地方政府に言及した2つの偽のオフィス文書に見せかけてマルウェアをアップロードした。
重要インフラ
2021年6月、Insikt Groupの研究者は、中国の国家支援型脅威アクター「TAG-22」が、台湾の工業技術研究院(ITRI)、フィリピンの情報通信技術省、およびネパール・テレコムを活発に狙っていると報告した。ITRIが中国の開発利益に類似した、持続可能性と技術のプロジェクトに注力していることから、同組織への攻撃は注目すべきものだと研究者は述べた。また、このグループは、ネパール、フィリピン、台湾、香港の学術機関、研究開発機関、政府機関も標的としている。攻撃者は、バックドアツールや、「Cobalt Strike」、「Winnti」、「ShadowPad」などのオープンソースツールを使用している。
テクノロジー
SonicWallは、パッチ未適用でサポート終了したファームウェア「8.x」を使用するセキュアモバイルアクセス(SMA)100シリーズおよびセキュアリモートアクセス(SRA)製品を標的とした、ランサムウェアキャンペーンについて警告した。この攻撃は、新しいバージョンのファームウェアでは解決済みの既知の欠陥を標的にしている。同社は、緩和策を講じない組織は「差し迫ったリスク」にさらされると述べた。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-09-15-july-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/