Threat Report

Silobreaker-WeeklyCyberDigest

タイの外国人向けワクチン接種予約サイトに、申請者データ流出させるバックドア

Tamura

2021.08.06

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート（英語）で、これを翻訳してお届けしています。

過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。

本日のピックアップ記事はこちらです（赤いリンクをクリックすると、このページ内の当該記事に移動します）。

・タイの外国人向けワクチン接種予約サイトに、申請者データ流出させるバックドア（「タイ」）
・シカゴ、ロサンゼルス、サンディエゴ住民3千5百万人の個人情報を公開するデータベースが発見される（「不明」）
・米マーケティング会社OneMoreLead、保護されていないデータベースからメールアドレスなど34GB流出（「OneMoreLead」）

以下、翻訳です。

2021年8月5日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

不明

シカゴ、ロサンゼルス、サンディエゴ地域の住民の情報を公開している、自由にアクセス可能なデータベースを、Comparitechの研究者Bob Diachenko氏が発見した。これには、氏名、住所、Eメール、生年月日、電話番号などが含まれていた。アマゾンは、2021年7月27日にこのリーク情報を保護した。（35,000,000）

米国

Reindeer

WizCaseの研究者は、32GBのデータを含む50,000以上のファイルが含まれた、設定ミスのあるAmazon S3バケットを発見した。公開されたデータには、氏名、Eメールアドレス、生年月日、住所、ハッシュ化されたパスワード、Facebook ID、約1,400枚のプロフィール写真が含まれていた。これらの情報は、2007年5月2日から2012年2月6日までのもの。その後、流出したデータは保護されている。（306,000）

南アフリカ

Western Cape Blood Service（WCBS）

同企業は、サイバー攻撃が業務に大きな影響を与えたと報告した。WCBSは、攻撃の範囲や個人情報の流出の可能性について、現在も調査中。

米国

Coghlin Electrical Contractors

このコントラクターは、2021年7月26日にランサムウェア攻撃の標的となった。同社は身代金を支払わなかったと報告されており、侵害されたファイルは復旧済み。この攻撃に関する調査は継続中。

タイ

外務省

最近開設された外国人向けの新型コロナワクチン接種予約サイトに、申請者の非公開データを流出させる、誰もがアクセス可能なバックドアが存在していた。データには、Eメールアドレス、氏名、国籍、生年月日などが含まれていた。この問題はその後修正された。（> 20,000）

米国

Secure Administrative Solutions LLC（SAS）

Renaissance Life & Health Insurance Company of AmericaのサードパーティーベンダーであるSASが、 2021年3月15日から4月15日の間にデータ侵害に遭い、保護対象保健情報の一部が盗み取られた。影響を受けた可能性のあるデータは、氏名、住所、生年月日、医療保険証書の番号、その他の医療保険情報など。権限のない人物はその後、盗まれたデータを破壊したと報告されている。

米国

Sandhills Center

脅威アクターが、Sandhills Centerから634GBのデータを盗んだと主張している。このデータは現在、ウェブサイト「Marketo」で宣伝されている。DataBreaches[.]netが入手した「プルーフパック」には、Sandhills Centerのレターヘッドが記載されたいくつかの文書と、同組織に関連すると思われるその他のファイルが含まれていた。あるファイルには、患者の人口統計情報が含まれていた。（> 42,600）

カナダ

Guard[.]me

カムループストンプソン教育区73番の留学生向けに旅行保険や医療保険を提供していたこの会社は、サイバーセキュリティ侵害に遭った。このインシデントにより、学生のID情報や連絡先などに影響が出ている可能性がある。

米国

Guidehouse

Cayuga Medical CenterのサードパーティープロバイダーであるGuidehouseは、Accellion FTAの侵害により影響を受けた。影響を受けた可能性のある個人情報には、氏名、生年月日、保険口座番号、および特定の医療情報が含まれる。

米国

Wisconsin Institute of Urology

この組織は、従業員のEメールアカウントに関連する、2021年5月26日前後の不審なアクティビティを特定した。影響を受けたシステムには、氏名、治療、診断情報、医療保険情報などのデータが含まれていた。侵害された情報は、個人によって異なると報告されている。

英国

ハックニー区議会

ハックニー区議会の職員と請負業者が、プロジェクト管理サイトTrelloの誤ったプライバシー設定により、弱い立場にある住民の情報を流出させたと、Hackney Citizenが報じた。流出したデータには、弱い立場にある女性の、住所などの情報が含まれていた。

英国

Isle of Wight Education Federation

Medina College、Carrisbrooke College、Island VI Form、Isle of Wight Education Federationのウェブサイトがランサムウェア攻撃を受けてオフラインになっている。The Isle of Wight Education FederationのITシステムは、2021年7月28日から29日の間に侵害され、すべてのデータが暗号化されてアクセスできなくなった。

米国

Paxton Media Group

同社は、2021年2月26日から3月20日の間に、権限のないサードパーティーが同社のシステムからデータをコピーできていたことを発見した。この侵害は、元および現従業員に属するデータに影響を与えた。このデータには、氏名、生年月日、社会保障番号、運転免許証番号、クレジットカード番号などが含まれる可能性がある。

米国

ハリス郡

テキサス州のこの郡は、2021年3月15日から5月22日の間に、同郡の司法行政部のウェブサイト上で、特定の保護対象保健情報が誤ってアクセス可能にされていたことを発見したとして、データ漏洩の通知を発表した。公開されていたデータには、ハリス郡の刑務所システムによって割り当てられた個人の固有識別子や、刑務所内の診療所で受けた治療に関する医療情報が含まれていた。（26,000）

米国

複数の医療関連企業

Databreaches[.]netは、「Pysa」ランサムウェアのリークサイトに存在する医療データを調査した。これには、Woodholme Gastroenterology Associates、Children’s Network of Southwest Florida、Drug Alcohol Testing and Screening Compliance、Upstate Home Care、Bolton Street Pediatrics、Overlake Obstetricians & Gynecologists、Mid-Florida Pathology、St. Margaret’s Hospice、Bridgeway Inc.のデータが含まれていた。

イタリア

ERG

同社は、ハッカーの攻撃を受けて、「ICTインフラにわずかな障害が発生しているだけ」だと述べている。すべての工場は順調に稼動しており、ダウンタイムは発生していないとのこと。「La Repubblica」紙は、今回の攻撃はランサムウェアグループ「LockBit 2.0」によって行われたと報じた。

米国

OneMoreLead

保護されておらず、暗号化されていないElasticSearchデータベースによって、34GBの慎重に取り扱うべきデータが公開された。公開されたデータの中には、フルネーム、Eメールアドレス、住所、職場情報などがあった。また、OneMoreLeadのバックエンドへアクセスするためのクレデンシャルも存在していた。その後、これらは保護されている。（126,000,000）

米国

Advanced Technology Ventures

財務データが保存されている同社のサーバーの1つに異常なアクティビティがあったため、調査したところ、ランサムウェア攻撃によってデータが盗まれ、暗号化されていたことが判明した。漏洩した情報には、投資家の氏名、Eメールアドレス、電話番号、社会保障番号が含まれている。（300）

医療に関連して言及された攻撃タイプ

このチャートは、医療に関連して先週話題となった攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

2021年3月、ThreatFabricの研究者は、「Vultur」として追跡されている、新たなAndroid向けバンキング型トロイの木馬を特定した。このトロイの木馬は、Virtual Network Computingをベースにしたスクリーンレコード機能を利用して、ユーザーの端末で起こっていることをすべて記録する。このマルウェアは、有名なドロッパーフレームワークである「Brunhilda」を介してGoogle Playで配布されているが、「Brunhilda」も「Vultur」の背後にいる脅威アクターが開発したものである可能性がある。このマルウェアは、主にイタリア、オーストラリア、スペインの銀行アプリケーションを標的にしており、多くの暗号通貨ウォレットも標的にしている。

テクノロジー

Trend Microの研究者は、設定ミスにより脆弱となっているApache Hadoop YARNサービスを標的とする複数のマルウェアファミリーを観測した。これは、HTTP POSTリクエストを使用して脆弱なサービスにコマンドを送信することで行われ、その結果、攻撃者のコマンドを含む起動スクリプトが作成される。Hadoopコンテナスクリプトが実行されると、リモートスクリプトがダウンロードされ、これがクリプトジャッキング用マルウェア「Kinsing」をデプロイする。また、拡散機能を持つGo言語でコンパイルされたバイナリーもデプロイされ、これがC2サーバーと通信して標的システムへのバックドアを提供する。研究者はまた、競合するクリプトジャッキング用マルウェアと、Hadoop YARNの感染したコンテナを標的とする「Mirai」ボットネットを観測した。

小売・観光

PayPalユーザーを対象とした現在進行中のクレデンシャル・フィッシング・キャンペーンを、Cofenseの研究者が観測した。このキャンペーンで攻撃者は、サービスの通知について標的と話し合うためのライブチャットを開始することを目指している。Eメールの本文には、正規のPayPalサイトへのリンクがいくつか含まれているが、「Confirm Your Account（アカウントを確認してください）」というリンクは偽のライブチャットにつながっている。このライブチャットでは、ユーザーに住所、メールアドレス、電話番号、クレジットカード情報を尋ねる、自動化されたスクリプトが使用されている。

重要インフラ

2021年初め、Cybereasonの研究者は、東南アジアの電気通信業界に対する3つの活動群を観測した。この侵入では、最近公表され、「HAFNIUM」も利用したMicrosoft Exchange Serverの脆弱性が利用されていた。これらの攻撃は、スパイ活動を容易するため、そしてCDR（Call Detail Record）などの慎重に扱うべき情報を収集するために行われたと、研究者たちは評価している。攻撃に使用されたマルウェアは、「China Chopper」、「PcShare」、「Nebulae」バックドア、カスタム「EnrollLogger」キーロガー、カスタム「Outlook Web Access」バックドアなど。活動群のうち2つは「Soft Cell」と「Naikon APT」によるものとされ、3つ目には「Group-3390」との強い関連性があった。

医療

イタリア・ラツィオ州の新型コロナワクチン接種予約の管理を担当していた企業のITシステムが、ハッカーに狙われた。その結果、同社のシステムが停止し、同州の医療ポータルおよびワクチン接種ネットワークが影響を受けた。これにより、同州のワクチン接種プログラムに遅れが生じる恐れがある。イタリアのセキュリティ研究者JAMESWT氏によると、この攻撃を行ったのが「Lockbit 2.0」だという証拠があるとのこと。一方、他の研究者は「RansomEXX」が背後にいるのではないかと推測している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-30-july-05-august-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/