ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。
本日のピックアップ記事はこちらです(赤いリンクをクリックすると、このページ内の当該記事に移動します)。
・LINEの暗号化機能「Letter Sealing」が無効化される 台湾政府関係者らが標的に(「LINE」)
・日本の銀行も標的に Androidマルウェア「Oscorp」の新バージョンを確認(「銀行・金融」)
・NCR Aloha POSにおけるリモートコード実行の脆弱性を悪用する攻撃が発見される(「小売・観光」)
以下、翻訳です。
2021年7月29日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
Savory Spice
このオンラインマーケットプレイスは、2018年4月5日から2021年3月27日の間に、権限のないサードパーティーが同社のコンピュータネットワークにアクセスしていたことを発見した。Savory Spiceは、攻撃者が顧客の名前のほか、クレジットカードやデビットカードの番号、有効期限、セキュリティコードを盗んだことを顧客に伝えた。TechNaduは、今回の侵害は「Magecart」攻撃である可能性が高いと指摘した。
米国
Florida Heart Associates
同クリニックは現在、2021年5月に発生したランサムウェア攻撃による復旧作業中。この攻撃により、電話回線やコンピュータシステムが停止した。また、Florida Heart Associatesは、一部の情報が流出した可能性があることを患者に伝えた。
米国
Express MRI
2020年7月10日、このMRI検査プロバイダーは、同社のメールアカウントから不正なメールが送信されていたことを発見した。同社は、患者情報を含むメールがアクセスを受けた、あるいは盗まれた可能性があることを公表した。影響を受けた可能性のある情報には、患者の氏名、住所、Eメールアドレス、生年月日などが含まれる。
米国
Jefferson Health’s Kimmel Cancer Center
この腫瘍治療プロバイダーは、クラウドサービスベンダーであるElekta社のセキュリティ侵害で影響を受けた。この侵害により、患者データを保存していた同センターのSmartClinicデータベースが盗まれた。これには、患者の名前、生年月日、医療記録番号、臨床情報、および一部の社会保障番号が含まれている。(1,769)
米国
Scripps Health
この病院の職員が、COVID-19で死亡した患者または瀕死の状態にある患者のIDを不正行為者と共有していたと疑われている。被疑者は、健康保険、氏名、年齢、生年月日、雇用などの患者データを入手し、裏付けを取ったとされている。その後、これらの情報は他の3人に渡され、COVID-19失業給付金の受給を試みるために使用された。
英国
Guntrader[.]uk
2021年7月16日、ハッカーが同社のユーザーデータベースを盗み取り、そのデータをダークウェブで宣伝した。このハッカーはそれ以来、「RaidForums」上でデータを無料公開している。この侵害を認めた同社は、個人の連絡先が流出したと述べたが、パスワードやクレジットカードの詳細は安全である模様。(111,321
米国
フロリダ州経済機会局
同局は、同局ウェブサイト「CONNECT」の失業給付金請求者アカウントに影響を与えているデータ侵害を公表した。2021年4月27日から7月16日の間に、脅威アクターが影響を受けるユーザーの個人情報を盗んだ可能性がある。これには、社会保障番号、運転免許証番号、銀行口座番号、住所、電話番号、生年月日などが含まれる。(57,920)
ニュージーランド
HealthAlliance
HealthAllianceは、同社のITシステムに「異常な活動の兆候」を発見し、影響を受けた可能性のあるDHB(地区保健委員会)にデータ漏洩の可能性を通知した。HealthAllianceは、マヌカウ郡、オークランド郡、ワイテマタ郡、ノースランド郡の各DHBにITサービスを提供している。
英国
国営宝くじ基金
この基金は、2013年9月から2019年12月の間に、助成金受給者および申請者から同組織に提供されたデータに影響を与えるデータ侵害の被害に遭った。情報には、フルネーム、住所、Eメールアドレス、生年月日、銀行口座のソートコード、口座番号などが含まれている。
米国
Magacoin
「ガーディアン」紙は、Magacoinに関連するウェブサイトのセキュリティ設定が不十分だったためにMagacoinユーザーのメールアドレス、パスワード、IPアドレス、暗号通貨ウォレットのアドレスが流出したと報じた。
米国
Mobile County
アラバマ郡は、同社のサーバーに対する「Grief」ランサムウェアの攻撃により、2021年5月24日に特定のコンピュータシステムが不正アクセスを受けたことを明らかにした。この侵害により、詳細不明の従業員情報が漏洩した。
カナダ
Haliburton, Kawartha, Pine Ridge District Health Unit
この医療機関は、Kawartha Lakes、Northumberland、Haliburtonの住民約500人に同報メールを誤送信した。このメールにより、住民のEメールアドレスを受信者全員が閲覧できる状態になった。
米国
Yale New Haven Health
この医療機関は、ソフトウェアベンダーであるElekta社のデータ漏洩で影響を受けた。この漏洩で、患者の氏名、住所、電話番号、Eメール、社会保障番号、一部の財務情報などが流出した。
米国
Talbert House
2021年7月9日、脅威アクター「Marketo」が、同社から80GBのデータを盗んだと主張した。データの中には、慎重に扱うべき医療情報を明らかにするファイルのほか、氏名、社会保障番号、生年月日なども含まれている。2021年7月15日に同機関は、2021年6月11日のネットワーク上での不正アクセスインシデントを発見したことを明らかにした。
米国
UC San Diego Health
2021年4月8日、この病院は、2020年12月2日から2021年4月8日の間に、権限のないアクターが一部の職員のEメールアカウントにアクセスしていたことを特定した。アクセスされたメールアカウントには、患者、学生、職員の一部に関連する個人データが含まれていた。アクセスされた可能性のあるデータには、氏名、住所、社会保障番号、政府の識別番号、決済カード番号や金融口座番号などが含まれる。
ギリシャ
テッサロニキ
この自治体に対する最近のサイバー攻撃はランサムウェア攻撃であったことが確認された。攻撃者は2,000万ドルの身代金を要求していた。その後、「Grief」ランサムウェアのオペレーターは、この攻撃で盗まれたデータを含む92MBのファイルを公開している。リークされたデータは、建物の図面や古い予算のスプレッドシートなど、ほとんどが公開情報である模様。ただファイルの一部には、非公開の書簡や財務報告書も含まれていた。
インドネシア
Bank Rakyat Indonesia Life(BRIライフ)
Hudson Rockの研究者は、2021年7月27日、生命保険会社BRIライフの顧客のユーザーデータをもとに作成されたとされる46万件の文書を宣伝する「RaidForums」の投稿を発見した。投稿者は、その主張の証拠(盗まれた銀行口座の詳細を示すビデオクリップや、インドネシアの身分証明書や納税者の詳細のコピーなど)を公開した。(2,000,000)
米国
グラスバレー市
カリフォルニア州のこの都市は、2021年6月29日に発見されたサイバー攻撃で標的となった。未知のアクターが同市の情報システムにアクセスし、サーバーから詳細不明のデータを盗み出した。
米国
Allegheny Intermediate Unit (AIU)
AIUは、2021年1月22日に発見された同ユニットのサーバーへの侵害を公表した。アクターは、氏名、住所、メールアドレス、生年月日、社会保障番号、納税者番号など、現在および過去の従業員とその扶養家族の情報を入手した。
米国
Emma Willard School
ニューヨーク州のこの学校がランサムウェア攻撃で標的となり、職員の社会保障番号、一部の財務情報が盗まれたほか、さらなるデータが盗まれた可能性がある。
カナダ
Calgary Parking Authority
セキュリティ研究者のAnurag Sen氏は、当局に属する暗号化されていないデータを含む公開状態のロギングサーバーを特定した。このサーバーは、2021年5月13日から7月27日の間に公開状態になっていた。TechCrunchによると、公開された個人情報には、フルネーム、生年月日、電話番号、Eメールアドレス、カード決済番号の一部分などが含まれていた。
カナダ
Homewood Health
このメンタルヘルスサービスプロバイダーに属するデータが、「Marketo」マーケットプレイスでオークションに出品されていた。Homewoodは、2021年の初めに「Hafnium」にハッキングされたと述べたが、「Marketo」は、データは別の手段で入手されたと述べている。流出した文書には、BC Housing社の従業員とおそらくその家族の、氏名、生年月日、電話番号、メンタルヘルス情報などの詳細が含まれている。また、TransLink社、Canada Post社、Costco社、BC Clinical Support Services社にも影響が及ぶ可能性がある。
台湾
LINE
同企業の本社は、攻撃者が特定のユーザーアカウントの暗号化機能「Letter Sealing」をオフにし、データを盗み取っていたことを発見した。現地の政治家や政府関係者が狙われたと報じられている。(100)
エストニア
Estonian Information System Authority RIA
タリンの住人が、マルウェアネットワーク、偽造デジタル認証、脆弱性を利用して当局を攻撃し、エストニア居住者の名前、ID番号、ID画像を入手した。(286,438)
英国
北アイルランド保健局
同局は、データ漏洩インシデントを受けて、COVID-19ワクチン認証のオンラインサービスを一時停止した。同局によると、COVIDCert NIの一部のユーザーに、システム内の他のユーザーのデータが表示されていたとのこと。
銀行・金融に関連して言及されたマルウェア
このチャートは、銀行・金融に関連して先週話題となったマルウェアを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
2021年2月、Cleafyの研究者は、EUのリテールバンクを標的としたAndroidマルウェア「Oscorp」の新バージョンを観測した。他のアクターにも使用された可能性がある同マルウェアは、米国、オーストラリア、日本の銀行も標的にしていた。このマルウェアはスミッシングによって配布されていたが、場合によってアクターは、多要素認証トークンを取得するために銀行のオペレータになりすまし、ヴィッシングを試みて電話で直接被害者に接触していた。「Oscorp」は、認証コードやSMSメッセージを傍受したり、オーバーレイ攻撃を実行したり、デバイスと自由にやりとりしたりすることができる。活動のなかった期間を経て、2021年5月と6月に、「Ubel」と名付けられた新しい亜種とともに、マイナーチェンジを施された新たな「Oscorp」のサンプルが観測された。このマルウェアは、おそらくアフィリエイトによる「Oscorp」のフォークまたはリブランドであると考えられている。
テクノロジー
Sygniaの研究者は、「Pray Mantis」と名付けられた新たな高度持続型脅威アクターによって実行された、ほぼ完全にメモリ上で動作するキャンペーンを観測した。「Praying Mantis」は、Windows IISサーバーやウェブアプリケーションの脆弱性を狙ったゼロデイを含む、さまざまなデシリアライゼーションのエクスプロイトを利用して、初回アクセスを獲得した。これまでのところ「Praying Mantis」は、西側諸国の主要な2つの市場において、知名度の高い公的機関や民間企業を標的にしている。同アクターは、IISサーバー用に作られたマルウェアフレームワークを使用している。このアクターの行動は、2020年にオーストラリアの官民組織を標的とした「Copy-Paste Compromises」と強い相関関係があることが判明した。
小売・観光
SentinelOneの研究者は、クレジットカードのデータを盗むためにNCR Aloha POSに存在するリモートコード実行のゼロデイ脆弱性を悪用する脅威アクターの攻撃を発見し、阻止した。この脆弱性は、 CVE-2021-3122として追跡されており、多く見られるクライアントの設定ミスであると報告されている。ユーザーは、Aloha POSをアップデートし、Command Center Agentがインターネットに接続されていないことを確認するよう推奨されている。
重要インフラ
Proofpointの研究者は、イランの脅威アクター「TA456」による、「Marcella Flores」というソーシャルメディア上のペルソナを使用した、航空宇宙および防衛関連の請負業者を標的とする数年間にわたるソーシャル・エンジニアリングキャンペーンを発見した。「TA456」は、企業や個人のコミュニケーションプラットフォームを通じて関係性を構築した後、標的となった従業員に「LEMPO」を配布した。このマルウェアは「Liderc」のアップデート版で、平文のスティーラーだ。「Marcella Flores」は、2019年後半にソーシャルメディア上で標的となった従業員と初めてやりとりを行った。また、他の複数の防衛関連請負業者の従業員とFacebookで友達になっていると思われる。
医療
ドイツ薬剤師連盟(DAV)は、同連盟ポータルを利用してハッカーが偽のパスを作成していたことが判明したことを受け、新型コロナワクチン接種デジタル証明書の発行を中止した。このハッカーは、自らの薬局IDを作り、それを使ってワクチン接種証明書を2枚作成したと報じられている。DAVは調査が進行中だと述べた上で、ポータルへのさらなる不正アクセスの兆候は確認されていないとした。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-23-29-july-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/