富士通の流出データとされるものがマーケットプレイスMarketoに出品、ドイツPumaのデータもMarketoに出品か

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート（英語）で、これを翻訳してお届けしています。

過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。

以下、翻訳です。

2021年9月2日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

日本

富士通

Marketoマーケットプレイスには現在、富士通から盗まれたとされる4GBのデータが出品されている。このサイトのオペレーターは、社外秘の顧客情報、企業データ、予算データ、レポートなどを所有していると主張している。同社は、データは自社のシステムではなく、顧客に関するものであるようだと述べた。

参考：Marketoについてもっと詳しく

Marketoについて過去に詳しく取り上げた記事を、こちらでご覧いただけます。

https://codebook.machinarecord.com/10805/

米国

Atlanta Allergy & Asthma

同社は、2021年1月5日から1月13日の間にNefilimランサムウェアの攻撃を受け、患者データが流出したことを患者に通知している。攻撃者は、フルネーム、生年月日、社会保障番号、医療情報、財務情報などを盗んだ。（9,800）

米国

サンアンドレアス・リージョナル・センター

この専門医療機関は、2021年7月5日に発生したランサムウェア攻撃によるデータ漏洩を患者に通知した。脅威アクターは、フルネーム、住所、Eメールアドレス、社会保障番号などを含む患者の記録を盗んだのち、ファイルのローカルコピーを暗号化した。

米国

CarePoint ENT

インディアナ州のこの医療機関は、2021年6月25日にランサムウェア攻撃を受けた。攻撃者は、氏名、住所、生年月日、社会保障番号、健康保険情報など、患者の医療記録にアクセスした。（>48,000）

サモア

公共事業・運輸・インフラ省

同省は、2021年8月2日および3日に発生したランサムウェア攻撃で侵害されたファイルを復元した。攻撃を受けたのは8台のコンピューターに限られていた。ファイルがサーバーから削除されることはなかったと報じられているが、復元の正確な内容は明らかにされていない。

米国

Envision Credit Union

報道によると、LockBit 2.0のオペレーターが、この会社から盗んだデータを公開すると脅迫したとのこと。同社は、詳細不明の事象が発生したため、技術的な問題が生じていると述べた。

中国

EskyFun

中国のEskyFun社が開発した3つのゲームに関する過去7日間分のユーザー記録のローリングログを保存する、保護されていないElasticsearchサーバーをvpnMentorの研究者が発見した。この記録には、Eメール、パスワード、IPアドレス、IMEI番号、GeoIPロケーション、ゲーム内の購入レシート、デバイスデータが含まれていた。 （~1,000,000）

個人ユーザー

Byline Timesの情報公開請求により、英国内務省が2019年7月1日から2021年5月31日の間に難民から7,167台の携帯電話を押収し、端末からメッセージ、通話、GPS、写真、連絡先などのデータを抜き取っていたとされることが明らかになった。 内務省の広報担当者は、データ抜き取りは、入国法違反の疑いがある場合に使用されると述べた。同メディアによると、現在、このようなデータ抜き取りを許可する方針は存在しないとのこと。（7,167）

ドイツ

Puma

Marketoマーケットプレイスに掲載されている広告で、同社から盗まれたと思われる1GBのデータがオークションにかけられている。社内管理用アプリケーションのソースコードなどを含む、盗まれたファイルの一部が公開された。

参考：Marketoについてもっと詳しく

Marketoについて過去に詳しく取り上げた記事を、こちらでご覧いただけます。

https://codebook.machinarecord.com/10805/

米国

CareATC

2021年6月18日から6月29日にかけて、従業員の2つのメールアカウントが権限のない人物によるアクセスを受けていた。これらのアカウント内で影響を受ける可能性のある情報は、主に名前と生年月日に関するもの。場合によっては、社会保障番号、運転免許証番号、金融口座情報などが漏洩した可能性がある。

米国

GETTR

Twitterユーザーの「pompompur_in」が、APIログにアクセスできるオープンなUIページを発見した。公開されているデータの中には、IPアドレス、ユーザー名、検索結果などが含まれている。「pompompur_in」はまた、ユーザーのメッセージ、Eメールアドレス、管理者のアクションを含む開発者のインスタンスも発見した。

インドネシア

保健省

vpnMentorの研究者は、政府の電子健康状態申告書（eHAC）プログラムが所有するElasticsearchデータベースが公開されているのを発見した。このデータベースには、乗客名、各種ID番号、パスポートやプロフィール写真、ホテルなどの所在地情報、COVID-19検査データなどが含まれていた。また、このアプリからは、eHACスタッフの個人情報や、インドネシアの226の病院の個人情報も漏洩した。（1,300,000）

米国

デントン郡

Microsoft Power Appsの設定ミスにより、デントン郡のワクチンクリニックの326,415件のレコードが公開状態になった。公開されたデータには、連絡先や個人情報のほか、ワクチン接種の予約情報が含まれていた。

タイ

バンコク・エアウェイズ

LockBitランサムウェアのオペレーターは、この航空会社が要求された身代金の支払いを拒否したと報じられた後、同社から盗んだデータを公開した。主張はさまざまだが、それらを踏まえると、公開されたデータには103GBから200GB超のファイルが含まれている。公開されたデータには、氏名、電話番号、Eメール、住所、パスポート情報などの乗客情報のほか、ビジネス関連の文書が含まれている。

米国

DuPage Medical Group

2021年7月13日のサイバー攻撃により、患者情報が入った一部のファイルが影響を受けた可能性がある。漏洩した可能性のあるデータには、氏名、住所、生年月日、医療情報のほか、少数の社会保障番号が含まれる。

カナダ

ケベック州政府

ハッカーグループが、ケベック州のフランソワ・ルゴー首相などのVaxiCode（同州のコロナアプリ）のQRコードを入手し、氏名、生年月日、ワクチン情報などを公開した。

カナダ

スーセントマリー市警察局

同警察局は、2021年8月26日にランサムウェア攻撃の標的となり、メールシステムが影響を受けた。この攻撃は緊急通報システムには影響を与えず、ビジネスラインも引き続き利用可能。

スイス

ヌーシャテル州立銀行

この銀行は、2021年8月4日および5日にサイバー攻撃の標的となった。この攻撃で約1,500件のEメールアドレスが盗まれた可能性がある。この攻撃でアクセスされたデータの中には、2012年にさかのぼる古いものもあったとされている。同行は現在、影響を受けた可能性のある個人を特定しようとしている。 （~1,500）

フランス

Francetest

同サイトで2021年8月27日にデータ漏洩が発生し、フランス国民の非公開記録が流出した可能性がある。漏洩した可能性のある情報には、氏名、生年月日、住所、電話番号、社会保障番号、Eメールアドレス、Covid検査の結果が含まれる。（<700,000）

米国

Beaumont Health

ミシガン州のこの医療機関は、2020年に発生したAccellionへのサイバー攻撃により、患者の情報が影響を受けた可能性があることを患者に通知した。漏洩したデータには、氏名や医療情報が含まれる可能性がある。（1,500）

その他

Career Group Inc

2021年7月2日に発生したランサムウェア攻撃の調査で、2021年6月28日から7月7日の間にCareer Groupのネットワークに不正アクセスがあったことが判明した。影響を受けた可能性のあるデータは、社会保障番号など。同社によると、権限のない人物から、盗まれたデータは永久に削除されており、それ以上拡散されていないと保証されたとのこと。（49,476）

エチオピア

エチオピア航空

LockBitランサムウェアのオペレーターが、自身のデータリークサイトにエチオピア航空を追加し、攻撃で盗んだとするデータを公開した。

銀行・金融に関連して言及されたマルウェア

このチャートは、銀行・金融に関連して先週話題となったマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

ベルギー人が、欧州刑事警察機構（ユーロポール）のカトリーヌ・ドボール長官を装ったフィッシングメールの標的になっている。メッセージはフランス語で書かれており、児童ポルノや小児性愛の犯罪でユーザーが捜査対象になっていることを通知している。このメールは、ユーザーのPayPal情報を入手しようとする試みに関連している模様。

医療

2021年7月15日、vpnMentorの研究者が、インドネシア政府のeHACプログラムが所有するElasticsearchデータベースが公開されているのを発見した。このデータベースには、乗客名、各種ID番号、パスポートやプロフィールの写真、ホテルなどの所在地情報、COVID-19検査データなど、eHACユーザー約130万人の記録140万件が含まれていた。さらに、このアプリからは、氏名、Eメールアドレス、ID番号など、eHACのスタッフの個人情報も流出した。また、インドネシアの226の病院から、医師の名前や検査情報などのデータも流出した。この漏洩事案は2021年7月21日にインドネシアの保健省に通知され、データは8月24日に保護された。

テクノロジー

脅威アクターがRealtek RTL8xxx SoCチップセットを搭載した機器を標的にし、最近公表されたRealTek SKDの脆弱性（CVE-2021-35394）を悪用しているのを、Juniperの研究者が観測した。この脆弱性を利用するには、攻撃者のUDPパケットが1つ必要。この攻撃ではMiraiの実行可能ファイルが配信され、これにより、標的となったシステムが脅威アクターのボットネット内で遠隔操作可能なボットとなる。IPアドレスが重複することから、このキャンペーンを実行したのは、過去にCVE-2021-20090の脆弱性を持つArcadyanファームウェアを搭載した機器を悪用したのと同一のアクターと見られる。

銀行・金融

オーストラリア競争・消費者委員会（ACCC）の監視機関であるスキャムウォッチ（Scamwatch）は、荷物の配達を装ってAndroid携帯電話を狙う新たなFlubotscamについてユーザーに注意喚起した。詐欺師たちが送るメッセージには、到着予定の荷物に関する虚偽の通知と、感染の連鎖を開始するWebサイトへとつながる偽の追跡リンクが含まれている。中にはDHLを装ったメッセージも存在する。この詐欺が最初に観測されたのは、2021年8月4日で、これまでに8,400回報告されている。

仮想通貨

分散型の主要プロトコルCream Financeがサイバー攻撃の標的となっていると、PeckShieldの研究者が報告した。この攻撃を可能にしたのは、AMPトークンコントラクトのリエントランシー（再入）バグ。Cream Financeは今回のインシデントを認め、攻撃者がAMPとETHでおよそ2,500万ドルを盗んだと述べた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/weekly-cyber-digest-27-august-02-september-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/