Threat Report

Silobreaker-WeeklyCyberDigest

JVCケンウッドのヨーロッパ拠点がサイバー攻撃受ける、Contiランサムウェアが犯行主張

山口 Tacos

2021.10.08

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

情報ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート（英語）で、これを翻訳してお届けしています。

主なニュース3つをピックアップ

JVCケンウッドのヨーロッパ拠点がサイバー攻撃受ける、Contiランサムウェアが犯行主張

コインベースから顧客6,000人の暗号通貨が盗まれる

新たなランサムウェア集団Atom SiloがアトラシアンのConfluenceサーバーを標的に

以下、翻訳です。

2021年10月7日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

日本

JVCケンウッドのヨーロッパ拠点がサイバー攻撃受ける、Contiランサムウェアが犯行主張

Contiランサムウェアのオペレーターが、1.7TBのデータを盗み、身代金を要求したと主張した。同社は、この攻撃の際、攻撃者がデータにアクセスした可能性があるとしている。

米国

ニーマン・マーカス

2020年5月、権限のない人物が特定のオンライン顧客アカウント関連の個人情報を入手した。漏洩した可能性のある情報は、氏名、連絡先情報、支払カード情報、ユーザー名、パスワード、秘密の質問とその回答、仮想ギフトカード番号など。（~460万）

コインベースから顧客6,000人の暗号通貨が盗まれる

脅威アクターが、コインベースのSMS多要素認証機能の脆弱性を悪用し、同社の顧客6,000人から暗号通貨を盗んだ。また、同アクターは、氏名、メールアドレス、自宅住所など、影響を受けた顧客の個人情報にもアクセスした。

Epilepsy Foundation of Texas

職員のメールアカウントがフィッシング攻撃により侵害され、患者データが流出した可能性がある。漏洩した可能性のある情報には、氏名、生年月日、運転免許証番号、医療情報、財務情報、社会保障番号などが含まれる。

ポタワトミー郡

同郡は、2021年9月17日にランサムウェア攻撃の標的となった。同郡は現在、攻撃者への身代金支払いを終え、システムを復旧させている最中。

ポルトガル

政府

ポルトガル国民の個人情報が、政府の「Portal BASE」を通じて流出した。データには、住所、電話番号、国民カードや納税者カードの番号といった個人文書などが含まれている。

米国

MTG USA、ReFa

両社に影響を与えた最近のデータ侵害が、顧客データの窃取につながった可能性がある。氏名、クレジットカードやデビットカードの情報といった個人情報が盗まれた可能性がある。

ワシントン・アドベンティスト大学

同大学は、2021年10月2日にランサムウェア攻撃を受け、Wi-Fiやインターネットが利用できなくなったことを報告している。同校は、一部のデータが流出した可能性があると述べた。

イスラエル

E.M.I.T Aviation Consulting Ltd

Lockbit 2.0ランサムウェアのオペレーターは、この航空宇宙・防衛関連企業を標的にし、盗んだデータを自身のデータリークサイトで公開すると脅迫したと主張している。この攻撃がいつ、どのように行われたかは未だ不明。

香港

Fimmick

REvilランサムウェアのオペレーターは、同社のデータベースに侵入し、多数の世界的ブランドからデータを盗んだと主張している。攻撃者は、盗んだデータのディレクトリ構造をネット上で共有しており、セタフィル、コカ・コーラ、Hana-Musubi、ケイト・スペードといった企業がリストアップされている。

南アフリカ

司法省

ランサムウェア攻撃により、名前、連絡先情報、銀行情報など、国民の個人情報を含む少なくとも1,200件のファイルが流出した可能性がある。

米国

Next Level Apparel

2021年2月17日から4月28日の間に、権限のないアクターが多数の従業員のEメールアカウントへのアクセスに成功し、アカウントのコンテンツにアクセスできるようになっていた。漏洩した可能性のある情報には、氏名、社会保障番号、金融機関の口座番号、医療情報などが含まれる。

政府に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、政府関連の脅威アクターを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

Cybleの研究者は、ドイツのコメルツ銀行を装った新たなフィッシングキャンペーンを観測した。このキャンペーンでは、コメルツ銀行の公式アプリに見せかけた悪意あるアプリを拡散するために、偽のWebサイトが使用されている。このマルウェアはHydraの新しい亜種で、連絡先やSMSの収集、クレデンシャルの窃取、デバイスの設定変更などを行うことができる。また、バンキングトロージャンHQwarの亜種も現在、コメルツ銀行の偽アプリによって拡散されており、その脅威アクターはHydraのものと同じIPを使用している。

小売・観光

Siftの研究者は、Proxy Phantomというアクターが、盗まれたアカウントクレデンシャル150万セットを使い、オンラインマーチャントに対して自動クレデンシャルスタッフィング攻撃を行っていることを発見した。このアクターは、1秒間に2,691回ものログイン試行を行っており、IPアドレスを入れ替えることにより、リクエストがより本物らしく、地理的に分散しているように見せかけている。同アクターの活動は、2021年4月から6月にかけて特に盛んになり、この時期にそのIPクラスター数が倍増した。

重要インフラ

Cybereasonの研究者は、Operation GhostShellと名付けられた、航空宇宙および通信業界を標的とした現在進行中のスパイ活動キャンペーンを発見した。このキャンペーンは、遅くとも2018年から盛んに行われており、主に中東の組織を対象としている。脅威アクターは、高度標的型攻撃において、ShellClientと名付けられたカスタムリモートアクセス型トロイの木馬を使用している。このキャンペーンは、これまでに知られていなかったイランの脅威アクター（MalKamakと呼ばれている）によるものとされているが、同アクターは国家支援型アクターである可能性が高い。

テクノロジー

新たなランサムウェア集団Atom SiloがアトラシアンのConfluenceサーバーを標的に

ソフォスの研究者は、新たなランサムウェア集団Atom Siloが関与するランサムウェア攻撃を検出した。このランサムウェアは、LockFileと「実質的には同一」だが、攻撃には複数の新しい技術が使用されていた。最初のアクセスは、Atlassian Confluence Serverに存在する、最近パッチが適用されたリモートコード実行の脆弱性（CVE-2021-26084）の悪用によって行われ、バックドアが提供される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。