Threat Report

Silobreaker-WeeklyCyberDigest

Acerがセキュリティ侵害認める、ハッカーが台湾およびインドのシステムを攻撃

山口 Tacos

2021.10.22

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

インドAcerが60GBのデータ盗まれる、Desorden Groupが攻撃主張しデータをRaid Forumsに投稿

米国の上下水道システム標的としたサイバー活動が継続中、当局がアドバイザリ発表

新たなキャンペーン「MirrorBlast」がカナダ、米国、香港、欧州の複数セクターを標的に、ロシア関連グループTA505による攻撃か

2021年10月21日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

インド

Acer

Desorden Groupが、同社の顧客情報や企業情報を含む60GBのファイルを盗んだと主張している。このデータはRaidForumsに投稿され、一部の記者に送られたとのこと。Acerはこの攻撃を認めている。

米国

Thingiverse

誤って設定されたS3バケットがハッカーフォーラムにダンプされ、2020年10月13日からデータが公開状態になっている。同データは36GBのバックアップファイルで、固有のメールアドレス、IPアドレス、ユーザー名、氏名、住所などを含んでいる。（228,000）

ミズーリ州初等中等教育局

同局のウェブサイトの脆弱性により、教師やその他の学校職員の社会保障番号が流出した。これらの社会保障番号は、関係するWebページの、誰もが閲覧可能なHTMLソースコードにエンコードされており、簡単にプレーンテキストに変換することができた。（~100,000）

ウィリアムズビル学区

Independent Healthが、ニューヨーク州の同学区の職員の氏名、会員ID番号、および医療情報を誤って流出させた。（~ 500）

台湾

Acer

Desorden Groupが、同社の従業員に関するデータおよび製品情報を盗んだと主張している。Acerは攻撃を認めているが、顧客関連の情報は含まれていないと主張している。

米国

American Osteopathic Association

脅威アクターが、氏名、住所、生年月日、社会保障番号、金融口座情報などの個人を識別できる情報と、メールアドレス、ユーザー名、パスワードにアクセスし、これらを窃取した。（27,500）

ロシア

Mosgortrans

脅威アクターが、同社のWebサイトから入手したとされる約1,100件の電話番号と31,000件のメールアドレスをネット上に掲載した。ファイルには、名前、ユーザー名、パスワードも含まれていると報告されている。Mosgortransは、自社のWebサイトや内部データベースへの侵害があったことを否定している。

米国

The Public School and Education Employee Retirement Systems of Missouri

権限のない個人が、1時間弱の間、ある職員のメールアカウントにアクセスした。職員らおよび退職者らの氏名、口座番号、一部の生年月日が流出した可能性がある。（349,246）

Apollo Career Center

権限のないアクターが同教育センターにアクセスした。盗まれた可能性のあるデータは、1957年から2008年の間にApolloに登録した成人教育の元生徒に関するもので、氏名や社会保障番号が含まれている。

マンハセット連合公立学校区

Vice Societyは、ランサムウェア攻撃の後に、同学校区のデータを自身のリークサイトにダンプした。ダンプされたデータには、プレーンテキストの古いデータや、現在および過去の生徒や職員に関する多数のファイルが含まれている。一部のファイルには、生徒の名前、生年月日、健康状態などが含まれている。

Sinclair Broadcasting Group

2021年10月17日に発生したランサムウェア攻撃はその後、脅威アクターEvil Corpによるものであるとされた。特定のサーバーやワークステーションが暗号化され、データが盗まれた。

アルゼンチン

内務省

同省のRegistro Nacional de las Personas（RENAPER）がハッキングされたと報じられている。Twitterユーザーの「AnibalLeaks」が、アルゼンチンの有名人のIDカード写真と個人情報を投稿した。同脅威アクターは、RENAPERのデータのコピーを所有していると主張しており、同国の全国民の氏名、自宅住所、生年月日、性別、Trámite番号などにアクセスできると主張している。（44）

米国

North American Dental Management

2021年3月31日から4月1日の間に、権限のない個人がフィッシング攻撃によって複数の企業のメールアカウントにアクセスした。侵害された可能性のあるデータは、氏名、住所、メールアドレス、電話番号、社会保障番号、金融機関の口座番号など。

英国

Centre for Computing History

同館は、顧客データファイルが漏洩したことを発見した。この侵害は、同館のサイト上でのチケット予約に使用されたメールアドレスがフィッシング攻撃の被害に遭った後に起きた。漏洩した情報には、氏名やメールアドレスなどが含まれる。

米国

Anthem

2021年4月17日から5月5日の間に発生した、同社のベンダーであるPracticeMaxに対するランサムウェア攻撃が、データ漏洩につながった。流出した情報には、氏名、生年月日、住所、電話番号、会員IDデータ、腎臓サービスに関連する臨床データが含まれる。

中国

QuickFox

公開状態のElasticSearchサーバーが、5億件のレコードの中から100GB超のデータを流出させた。ユーザーのメール、電話番号、デバイス情報、MD5でハッシュ化されたパスワード、割り当てられたIPアドレス、および元のIPアドレスが流出した。また、30万人以上のユーザーのファイルの場所、インストールデータ、デバイスのバージョン番号なども流出した。（~1,000,000）

香港

L’Oreal

2021年9月に発生したFimmickへのランサムウェア攻撃により、顧客のデータが侵害された。氏名、電話番号、メールアドレス、居住地住所などが流出した可能性がある。（35,000）

カナダ

ダラム地域

2021年4月に公表された同地方自治体のデータ流出では、診断書、医療に関する苦情、政府給付金の申請書、刑事事件の証拠となりうるものも流出していたと現在では考えられている。

英国

NHS Digital

同社が送信した複数のメールが、不注意によりすべての受信者のメールアドレスを公開していた。メールには、個人および企業の非公開メールアドレスが含まれていた。（~200）

米国

Fluid Design Products

2021年10月19日にランサムウェア攻撃が発生し、同社のサーバー全体のコンテンツが暗号化され、盗まれた。漏洩した可能性のある情報には、氏名、住所、給与データ、社会保障番号などがある。

ヘルスケア業界に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、ヘルスケア業界関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

重要インフラ

米国の上下水道システム標的としたサイバー活動が継続中、当局がアドバイザリ発表

米国当局は、同国の上下水道（WWS）部門を標的とした悪質なサイバー活動が継続していることを警告する共同アドバイザリを発表した。この活動は、不正アクセスによりシステムへのアクセス権を侵害しようとするもので、WWS施設が清潔な水を供給する能力を脅かすものである。

銀行・金融

新たなキャンペーン「MirrorBlast」がカナダ、米国、香港、欧州の複数セクターを標的に、ロシア関連グループTA505による攻撃か

2021年9月初旬に始まった「MirrorBlast」と名付けられた新しいキャンペーンは、カナダ、米国、香港、ヨーロッパの複数のセクターを標的としており、金融サービス機関を重点的に狙って活動している。このキャンペーンでは、データ抜き取りのために難読化技術が使用される。Morphisecの研究者は、攻撃チェーンに類似点があることから、このキャンペーンはロシアを拠点とするとされる脅威グループTA505によるものだと考えている。

ヘルスケア

イスラエル保健省と国家サイバー総局は、病院や医療機関を標的としたサイバー攻撃の試みが劇的に増加していることを確認した。2021年10月16日と17日の週末には9つの病院が標的となったが、被害はなかった。この声明は、Hillel Yaffe Medical Centerが2021年10月13日にランサムウェア攻撃を公表した数日後に発表されたもので、同病院の業務には現在も支障が出ている。この攻撃は、ランサムウェア「DeepBlueMagic」を使用した中国との関連が疑われるアクターグループによるものとされている。

政府

Symantecの研究者は、南アジアの政府、通信、情報技術、およびその他のセクターを標的とする、「Harvester」と呼ばれる新たな脅威アクターを発見した。このグループは、カスタムバックドア「Graphon」と一般公開されているツールを使用してリモートアクセスを確立し、ユーザー・アクティビティをスパイし、データを抜き取っている。研究者は、その能力、標的、カスタムツール開発などを踏まえ、Harvesterが国家に支援されたアクターであると推定している。

テクノロジー

Laceworkの研究者は、Keksecグループのボット「Necro」の新バージョン（Spytech Necroと呼ばれる）を確認した。Spytech Necroには、アップデートされたC2プロトコルと新たな複数の機能が備わっている。このボットは、最近パッチが適用されたAtlassian Confluenceの脆弱性（CVE-2021-26084）を含む、複数の脆弱性を盛んに悪用している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。