Threat Report

Silobreaker-WeeklyCyberDigest

インド最大の証券保管振替機構のサーバーに重大な脆弱性、投資家4,390万人の情報流出

山口 Tacos

2021.11.05

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

インド最大の証券保管振替機構のサーバーに重大な脆弱性、投資家4,390万人の情報流出

暗号資産価格追跡サイトのCoinMarketCapからユーザー300万人超のメールアドレスが流出

Magecartの脅威アクターがサンドボックスや仮想マシン検出を回避するデジタルカードスキマーを配布

2021年11月4日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Samaritan Daytop Village

権限のないアクターが特定のシステムにアクセスし、特定の情報を閲覧または窃取した。漏洩した可能性のある情報には、氏名、生年月日、社会保障番号、医療診断、健康保険情報などがある。

インド

Central Depository Services Limited

インド最大の証券保管振替機構のサーバーに重大な脆弱性が発見された。投資家の個人情報および財務情報が流出した。データは2005年以降のもので、氏名、同国の納税者番号、生年月日、メールアドレス、本籍地、年間所得税申告書などが含まれていた。（4,390万）

ドイツ

Scoolio

APIの脆弱性により、同学生向けアプリのユーザーデータが流出した。漏洩した情報には、ユーザーや親のメールアドレス、位置情報、学校名やクラス名、個人の趣味や特性などが含まれている。（400,000）

米国

Blue Shield of California

2021年8月25日に発見されたTeam Alvarez Insurance Servicesに対するランサムウェア攻撃により、会員のデータが公開された。漏洩した可能性のある情報は、生年月日、メールアドレス、住所、電話番号、健康保険情報など。（2,858）

Seneca Family of Agencies

2021年8月25日から8月27日の間に、権限のない個人が同社のネットワークにアクセスしたことにより、データ漏洩が発生した。漏洩した可能性のある情報は、氏名、生年月日、社会保障番号、住所、電話番号、メールアドレス、運転免許証番号、デジタル署名、各種医療・保険情報など。

Zales[.]com

Webサイトの不具合により、顧客の個人情報がサイト利用者に公開された。漏洩した可能性のある情報には、氏名、請求先住所、配送先住所、電話番号、メールアドレス、注文情報、顧客のクレジットカード番号の下4桁が含まれる。

Avista

同社は、ランサムウェア攻撃を受け、顧客のメールアドレス、Avistaのユーティリティー番号、サービスアドレス、エネルギー使用量が流出したことを顧客に通知した。（〜20,000）

ジェーンズビル学区

2021年10月24日に同学区に対するランサムウェア攻撃で入手されたと思われるデータが、ロシア語のフォーラムに投稿された。「Garrett」という名前のユーザーが、同学区のものとされるファイルのスクリーンショットを投稿し、口座番号、生徒の遠足のための預金、編集された生徒のリストなどが公開状態になった。

Coughlin & Gerhart

2021年4月2日から4月3日の間に、権限のない攻撃者が特定のコンピューターシステムにアクセスした。漏洩した可能性のある情報には、氏名、住所、社会保障番号、運転免許証番号、パスポート番号、金融口座情報、医療情報、健康保険情報などがある。

UMass Memorial Health

2020年6月から2021年1月の間に、権限のない人物が企業メールアカウントにアクセスした。漏洩した可能性のある情報には、氏名、生年月日、社会保障番号、運転免許証番号、医療記録番号、健康保険情報、臨床・治療情報などがある。（209,048）

カナダ

Portpass

この新型コロナワクチンの接種証明アプリは、同社がこれまでのデータセキュリティの問題を解決したとされているにもかかわらず、ユーザーの個人情報を引き続き公開状態にしている。漏洩している恐れのある情報には、氏名、電話番号、メールアドレス、生年月日、ワクチン接種状況、アルバータ州の医療機関番号などが含まれる可能性がある。また、一部のレコードには、ユーザーの写真や個人を識別できる文書も含まれていた。（17,000）

英国

Graff

Contiランサムウェアのオペレーターは、同社を攻撃したと主張し、盗んだとする秘密文書を流出させた。流出したのは、顧客リスト、請求書、領収書、クレジットノートなどで、著名人が購入した商品に関するファイルも含まれている。（11,000）

米国

Professional Healthcare Management

同社は、2021年9月14日にランサムウェア攻撃を受けた。標的となったサーバーには、顧客や従業員の保護されるべき健康情報が含まれており、氏名、社会保障番号、健康保険情報、医療情報などが含まれていた可能性がある。

Sea Mar Community Health Centers

2020年12月から2021年3月にかけて、同社のネットワークから一部のデータが権限のないアクターによってコピーされた。身元不明の脅威アクターが、2021年6月にMarketoのリークサイトで3TBのデータを宣伝したが、その中には一部の患者の氏名、生年月日、写真が含まれていた。社会保障番号も盗まれた可能性がある。

イスラエル

Cyberserve

Black Shadowが、このホスティング会社のサーバーをハッキングし、サーバーをオフラインにしたと主張している。2021年10月30日、同グループは、ホスティングサービスから盗んだ複数のイスラエル企業に関する情報を流出させた。これには、国民の個人情報を含むデータベースと思しきものが含まれている。

米国

フロリダ州タイタスビル

2020年11月19日から2021年2月18日の間に、あるアクターが従業員のメールアカウントに不正にアクセスした。漏洩した可能性のある住民の情報には、氏名、社会保障番号、運転免許証番号、金融口座や決済カードの情報、医療情報などがある。

英国

救世軍

権限のないサードパーティーが同組織のITシステムの一部にアクセスし、個人データにアクセスした。漏洩した可能性のある情報には、国民保険番号、銀行口座番号、ソートコード、および人事情報が含まれる。

シンガポール

National University of Singapore Society

2021年10月6日から10月7日にかけて発生したハッキングインシデントにより、会員の個人データが盗まれた。漏洩したデータには、NRIC番号、生年月日、国籍、メールアドレス、電話番号などが含まれる。（1,355）

米国

Community Medical Centers

2021年10月10日、権限のないアクターが同社のネットワークにアクセスした。漏洩した可能性のあるデータには、氏名、住所、生年月日、社会保障番号、医療データなどが含まれる。（656,047）

Las Vegas Cancer Center

2021年9月6日にランサムウェア攻撃が発生した。漏洩した可能性のある情報には、氏名、生年月日、社会保障番号、医療・保険情報が含まれる（〜3,000）

Phlebotomy Training Specialists

誤って設定されたAWS S3バケットにより、同社のデータおよび199,612件と見られるファイル157GBが公開状態になっていた。漏洩した可能性のある情報には、氏名、生年月日、メールアドレス、住所、電話番号、写真、社会保障番号の最後の4桁が含まれる。（〜50,000）

英国

労働党

同党がデータ侵害を受けた。この原因は、同党のデータを管理しているサプライヤーがランサムウェア攻撃と思われる攻撃を受けたこと。漏洩した可能性のあるデータには、党員、登録済みサポーター、提携サポーター、および党に情報を提供したその他の個人の情報が含まれる。

米国

CoinMarketCap

ユーザーのメールアドレスが、詳細不明のアクターによって入手され、2021年10月12日にハッキングフォーラムにアップロードされた。CoinMarketCapは、今回のデータ流出は同社のサーバーからのものではないと主張している。（3,117,548）

カナダ

Ronmor Holdings

同社は、2021年9月下旬にREvilランサムウェアによる攻撃の標的となった。同グループは、同社のサーバーから755GBのデータを抜き取ったと主張している。一部の非公開で極秘の企業データが流出した模様。

ヘルスケア業界に関連して言及されたランサムウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、ヘルスケア業界関連のランサムウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

ヘルスケア

カナダのニューファンドランド・ラブラドール州が、2021年10月30日にサイバー攻撃の標的となった。この攻撃により、地域の医療機関はネットワークを停止し、数千件の予約をキャンセルした。Central Health、Eastern Health、Western Health、Labrador-Grenfell Regional Healthの各医療機関が影響を受けた。この地域の通信も影響を受け、住民は医療センターや緊急サービスに電話で連絡を取ることができなかった。

重要インフラ

バングラデシュ政府のCyber Threat Intelligence Unitは、APT-C-61と名付けられた、2021年半ばから観測されている、それまで詳細が不明だった脅威アクターグループに関するレポートを発表した。このグループは、Tengyunマルウェアを使用して、パキスタンとバングラデシュの軍事産業や国立機関、研究機関を標的にしている。同アクターは、検出を回避するために、慎重に扱うべきデータを既存のC2またはクラウドベースのサーバーへ抜き取ると考えられている。研究者は、同アクターがランサムウェア攻撃の準備をしており、将来的には銀行や金融業界を標的にする可能性もあると考えている。

テクノロジー

NetLab 360の研究者は、2019年11月21日に「Pink Botnet」と名付けられた新しいボットネットサンプルを発見した。ピーク時には160万台以上のデバイスに感染しており、そのうち96%が中国に存在している。このボットネットは2021年10月に公表されたが、2021年10月20日時点でまだ、アクティブなIPが1日あたり10万3,024件存在している。このボットネットは、暗号化、ファイルダウンロード、分散型サービス拒否攻撃などの機能を備えている。絶対的な制御を維持するために、標的となったMipsベースのファイバールーターのオリジナルファームウェアを感染後にフラッシュすることで、持続性を確保している。

銀行・金融

Check Pointの研究者は、ラテンアメリカの企業を標的にしていることで知られるバンキング・トロージャン「Mekotio」の感染経路が変化していることを発見した。Mekotioは、電子銀行ポータルのアクセス認証情報を盗むことができ、パスワード・スティーラーを搭載している。攻撃は、納税証明書を装ったスペイン語のフィッシングメールによって始まり、ユーザーを添付ファイルのZIPアーカイブか、Webサイト上でホストされているアーカイブに誘導する。このアーカイブには、ファイルレスのPowerShellスクリプトをメモリ上で直接実行する、ステルス性の高い新たなバッチファイルが含まれている。

小売・ホスピタリティ

Magecartの脅威アクターがサンドボックスや仮想マシン検出を回避するデジタルカードスキマーを配布

Malwarebytesの研究者は、Magecartの脅威アクターが、サンドボックスや仮想マシン検出を回避する機能を備えたデジタルカードスキマーを配布しているのを観測した。このスキマーは、仮想マシンのグラフィック・レンダラーを識別するが、通常これにより仮想マシンのソフトウェア・レンダラーのフォールバックが明らかにされ、既知のフォールバックのリストと照合される。仮想マシンがこのテストにパスすると、スキマーは名前、住所、パスワード、メール、電話番号、カードデータなどのフィールドをスクレイピングする。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。