ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。
以下、翻訳です。
2021年9月16日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
日本
東レ株式会社
ハッカーグループのMarketoが東レのデータ4GB分を所有していると主張した。ただし当初は、盗まれたデータは富士通のものだと主張していた。侵害されたデータには、秘密の顧客情報、企業データ、予算データなどが含まれる。
日本
オリンパス
2021年9月8日、BlackMatterランサムウェアグループによるものとされるインシデントが、同社の欧州、中東、アフリカのITシステムの一部に影響を与えた。影響を受けたシステムは無効化されている。
国際連合(UN)
2021年4月、未知の攻撃者が国連のインフラの一部に侵入した。国連が使用しているエンタープライズ・リソース・プランニングシステム「Umoja」へのアクセスを許可するログイン認証情報が、ダークウェブ上で確認された。報道によれば、国連は、この攻撃は偵察活動であり、ハッカーは侵害されたネットワークのスクリーンショットを撮影しただけだと考えているとのこと。
南アフリカ国立宇宙機関
サードパーティーが、企業情報を含むファイルをネット上で共有していた。同機関は、このファイルダンプがネットワーク侵害ではなく、公共の匿名FTPサーバーからのものであると判断した。ほとんどのデータはすでにパブリックドメインとなっているが、2016年の学生の応募書類の一部が公開された。CoomingProjectが犯行声明を出している。
米国
バージニア州兵
契約しているサードパーティーが管理するEメールアカウントが、2021年7月のサイバー攻撃で影響を受けた。データサーバーの内部ITインフラは侵害されなかった。2021年8月20日、マーケットプレイスMarketo上のアクターが、盗んだ1GBのデータを販売可能であると主張した。
イスラエル
バル=イラン大学
「darkrypt」というエイリアスのもと活動するハッカーによってデータがネット上にリークされた。同アクターは身代金として250万ドルを要求し、大学側は支払いを拒否したため、20TBのデータが公開された。公開されたデータには、研究室の文書、論文、数千人の個人情報などが含まれている。
米国
LifeLong Medical Care
同社のベンダーであるNetgain Technology社に対する2020年9月のデータ侵害により、患者データが流出した。漏洩したデータには、フルネームのほか、社会保障番号、生年月日、医療情報のさまざまな組み合わせが含まれている。(115,448)
オランダ
HAN University of Applied Sciences
2021年9月1日、同大学のシステムに対するデータ侵害が発生した。この攻撃により、学生、卒業生、職員、およびオンラインの問い合わせフォームに記入して大学に連絡したことのある人の氏名、電話番号、パスワードなどのデータが盗まれたと報告されている。攻撃者は、同大学が身代金の支払いを拒否した後、盗んだデータを公開したとのこと。(115,448)
米国
Desert Wells Family Medicine
2021年5月21日に発生した標的型ランサムウェア攻撃により、バックアップを含む同クリニックの電子カルテデータが破損し、記録が復元できなくなった。このインシデントにより、個人の氏名、社会保障番号、住所、生年月日、請求先口座番号、医療情報などが流出した。(35,000)
南アフリカ
Department of Justice
2021年9月6日にランサムウェアによる攻撃を受けた後、すべてのシステムが暗号化され、従業員および一般市民が利用できない状態になった。同省のすべての電子サービスが停止した。
シンガポール
MyRepublic
2021年8月29日、同社のデータストレージベンダーに対するデータ漏洩が発覚した。権限のない者が、スキャンされた国民IDカードのコピー、外国人居住者の居住地住所、および一部の顧客の氏名と電話番号にアクセスした。(79,388)
米国
ドーチェスター郡
フィッシング・インシデントにより、同郡が管理する情報への不正アクセスが発生した。漏洩したデータには、住民の氏名、住所、Eメールアドレス、生年月日、社会保障番号、運転免許証番号、金融機関の口座番号、クレジットカード番号、認証情報、医療情報が含まれている。(79,388)
不明
AvosLockerランサムウェアのアフィリエイトが、2021年9月3日から9日にかけて、詳細不明の企業に対してランサムウェア攻撃を行った。標的となったこの企業は85,000ドル相当の身代金をビットコインで支払ったと報じられている。
米国
Missouri Delta Medical Center
脅威アクターグループのHiveは、2021年8月23日に同社をランサムウェア攻撃の標的にし、データ400GB分を盗み出して10GB分をネット上にダンプしたとされている。漏洩した可能性のある情報には、患者の氏名、口座番号、医療データが含まれる。
米国
Barlow Respiratory Hospital
同病院は、2021年8月27日にVice Societyによるランサムウェア攻撃の標的となった。同アクターは、個人情報を含む2001年から2009年までの大量のファイルにアクセスし、ダンプしたとされている。また、現在使用されているファイルも一部流出した。
米国
HBP Financial Services Group
2021年5月20日に発見されたインシデントで、同社のシステムが侵害された。同インシデントで攻撃者は同社に対して金銭のからむ不正行為を行おうとしたと報告されている。
米国
Pathology Consultants of New London
攻撃者が、2021年4月30日以降の患者の氏名、住所、生年月日、保険および臨床情報を含むEメールにアクセスした可能性がある。この侵害は、管理者であるHBP Financial Services Groupが受けたサイバー攻撃の一部。
米国
Talbert House
この企業は、自社サーバーからデータが盗まれたことを認めた。これには、患者の氏名、住所、医療情報が含まれているほか、従業員やパートナーの社会保障番号、運転免許証番号、金融口座情報などが含まれている可能性がある。
米国
Rehabilitation Support Services Inc
同社が、2021年6月1日のデータ流出について認めた。漏洩した可能性があるのは、現在および過去の従業員や顧客の情報で、氏名、住所、生年月日、社会保障番号、健康保険情報、医療データなど。
米国
ニューヨーク州ヨンカーズ
同市に対するランサムウェア攻撃により、2021年9月6日から9月10日までの間、全職員がコンピュータにアクセスできない状態になっていた。市の担当者は、要求された身代金は支払わず、バックアップに頼ってシステムを復旧させると述べていた。
米国
GetHealth
モノのインターネット(IoT)を利用した健康・フィットネス関連のトラッキングデバイスの記録がネット上で公開された。漏洩した可能性のある情報には、氏名、生年月日、体重、身長、性別、地理的位置情報などが含まれる。(61,053,956)
ドバイ
Moorfields Eye Hospital
2021年9月1日、AvosLockerのオペレーターは、2021年8月の同病院への攻撃で盗んだ残りのファイルをダンプした。公開された可能性のある情報には、履歴書、資格印象情報などが含まれる。さらに、1,100枚以上の患者のパスポートのコピーが流出した。
米国
テキサス州・北東独立学区
2021年8月下旬のサイバー攻撃で、給与計算部門で電信送金を担当している職員のメールアカウントが標的となった。別の銀行に資金を送金しようというハッカーの試みは失敗に終わった。現在および過去の職員の個人情報が侵害された可能性がある。(~5,000)
米国
Indiana Creek Foundation
2021年2月6日にマルウェアによる攻撃が行われ、データが盗まれた。侵害された情報には、氏名、社会保障番号、運転免許証番号、金融口座情報、医療情報が含まれる可能性がある。(~5,000)
カナダ
The Ottawa Hospital
ワクチン教育セッションの案内メールが、受信者の名前が他の人に見える状態で誤ってワクチンを接種していないスタッフに送信された。(~400)
フランス
不明
ハッカーが、2020年半ばにパリで新型コロナウイルス検査を受けたパリ市民の個人情報を盗み出したほか、検査を実施した医療関係者の情報をも入手した。このデータには、ID、社会保障番号、連絡先、検査結果が含まれていた。(1,400,000)
米国
Epik
ハクティビスト集団のアノニマスが、ドメイン登録およびWebサービスのプロバイダーである同社から180GBのデータを入手したと主張している。その中には、Epik社の顧客のユーザー記録や従業員のEメールなどが入った、さまざまなSQLデータベースが含まれている。盗まれたデータは複数のトレントサイトでリークされており、Ars Technicaは、Epik社のCEOであるRob Monster氏のEメールを含むデータのごく一部を確認することができた。
米国
Walgreens
Interstitial Technology PBCは、Walgreens社のデータ管理の不備により、ユーザー数百万人の個人情報がインターネット上で簡単にアクセス可能な状態になっていることを発見した。公開状態の患者情報には、氏名、生年月日、住所、電話番号、Eメールアドレス、性別、検査結果などが含まれている。これらのデータは、Walgreens社のプラットフォームで新型コロナ検査の予約を登録した患者に関するもの。
政府に関連して言及された攻撃タイプ
このチャートは、政府に関連して先週話題となった攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
Segurança Informática社の研究者は、「maxtrilha」と呼ばれる新しいバンキングトロージャンを発見した。maxtrilhaは、ブラジルのサイバー犯罪者によって、ヨーロッパや南米の銀行の顧客を標的にするために使用されている。このトロイの木馬を拡散するために、攻撃者は標的となる企業に合わせてカスタマイズしたEメールのフィッシングテンプレートを使用する。実行されたmaxtrilhaは、銀行取引用ウィンドウのオーバーレイを起動し、銀行取引の詳細情報を取得する。このマルウェアはDelphiで書かれており、現在のところウイルス対策システムを回避することができる。銀行の認証情報の窃取に加えて、DLLインジェクションによってさらにペイロードをデプロイすることが可能。盗まれた被害者のデータは暗号化され、ロシアにあるC2サーバーに送信される。
政府
南アフリカ共和国の法務・憲法進展省は、2021年9月6日にランサムウェア攻撃を受けた。すべてのシステムが暗号化され、職員と一般市民の両者が利用できない状態になった。同局の電子サービスはすべて停止された。また、このサイバー攻撃により、同国の情報規制局のWebサイトがクラッシュした。
小売・観光
パロアルトネットワークスUnit 42の研究者によると、旅行関連フィッシングURLの2021年の登録数が、コロナロックダウン後の旅行再開を脅威アクターが利用する中で、大幅に増加しているという。脅威アクターはメールの保護機能を回避するため、URL短縮サービスと、GoogleのFirebaseのようなサービスの両方を利用している。標的型のフィッシング攻撃やキャンペーンに加え、Dridexの2つのマルスパムキャンペーンでも旅行関連ルアーの利用が確認されている。1つ目のキャンペーンでは、Excelのスプレッドシートが利用され、2つ目ではExcelのスプレッドシートをダウンロードするためのDropboxのリンクが添付されている。これらのキャンペーンで使用された新規登録ドメインは、「航空会社」や「長期休暇」というキーワードを含んでいた。
テクノロジー
Microsoft WordとMicrosoft Explorerに影響を与える、最近修正されたゼロデイ(CVE-2021-40444)の悪用をサポートするインフラを、RiskIQの研究者が分析した。研究者らは、オペレーターの利用するインフラがWIZARD SPIDER、もしくはUNC1878やRyukといった関連グループに属していると、高い確度で評価している。しかし、今回のゼロデイ・キャンペーンに関与する脅威アクターがWIZARD SPIDERの一員なのか、その関連グループの一員なのかは明らかになっていないと、研究者は指摘した。また研究者らは、脅威アクターの目的が従来型のスパイ活動であると、中程度の確信を持って評価している。マイクロソフトの研究者も同キャンペーンを分析し、今回の活動を未確認の脅威アクターDEV-0413によるものとした。研究者らは、DEV-0365関連のインフラやUNC1878関連のインフラとの重複を確認した。
重要インフラ
シマンテック社の研究者は、最近報告されたバックドアのSidewalkが中国関連グループのGrayflyによるものであるとし、同マルウェアが古いバックドアCrosswalkと関連していることを発見した。最近のGrayflyのキャンペーンは、主に通信事業者を標的としているが、台湾、ベトナム、米国、メキシコのメディア、金融、ITサービスプロバイダも攻撃しているところが確認されている。最近のキャンペーンで、Grayflyが公開されたMicrosoft ExchangeおよびMySQLサーバーを悪用していたことから、同グループの初期ベクターは公開サーバーの欠陥を利用していると考えられる。Grayflyは、APT41のスパイ部門だと考えられており、研究者によると、Wicked Pandaとして知られるグループと同一である可能性がある。ESETの研究者は以前に、SidewalkバックドアがSparklingGoblinという新しいアクターによるものだとした。SparklingGoblinもWicked Pandaと関連があるとされている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-10-16-september-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/