Threat Report

Silobreaker-WeeklyCyberDigest

Netflix、Instagram、Twitterユーザーのクレカ情報盗む新たなAndroidマルウェア「MasterFred」

Tamura

2021.11.12

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

Netflix、Instagram、Twitterユーザーのクレカ情報盗む新たなAndroidマルウェア「MasterFred」

マイクロソフトApp Installerを利用してTrickbot、BazarLoaderに感染させる手口

フィリピン外務省、Online Passport Trackerのプラットフォームとデータソースを停止　プライバシー問題の報告受け

2021年11月11日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

オーストラリア

南オーストラリア州インフラ・交通局

mySA GOV利用者のアカウントに、サードパーティーがアクセスした。影響を受けた利用者は、運転免許証番号を変更するよう推奨されており、パスワードを変更するよう依頼されている。（2,601）

米国

JEV Plastic Surgery and Medical Aesthetics

2021年4月30日から6月14日の間に、権限のないアクターが企業システムにアクセスしていた。このアクターは、患者データを閲覧または入手した可能性がある。漏洩した可能性のある情報には、氏名、生年月日、診察記録、病歴、手術記録が含まれている。

イスラエル

Machon Mor

Black ShadowはCyberserveに対する攻撃の後、同医療機関のデータを流出させた。漏洩したデータには、患者の個人情報や医療記録が含まれているとの報道。（290,000）

米国

Docket

この保健アプリのセキュリティバグにより、新型コロナワクチンの接種を受けたニュージャージー州およびユタ州の住民の個人情報が公開状態になった。漏洩した可能性のある情報は、氏名、生年月日、ワクチン接種状況など。

米国

King’s Seafood Company

同社に対するサイバー攻撃が2021年6月4日に始まり、権限のない個人が会社のディレクトリに保存されている個人を特定できる情報にアクセスした。漏洩した可能性のある情報には、氏名、運転免許証の情報、決済カード情報、医療カード、電話番号、および部分的に編集された社会保障番号が含まれる。

米国

QRS Inc

2021年8月26日にサイバー攻撃が発見された。攻撃者は患者ポータル専用サーバーにアクセスした。また、そこに保存されているデータを盗んだ可能性がある。漏洩した可能性のある情報には、氏名、住所、生年月日、社会保障番号などがある。

米国

New York Psychotherapy and Counseling Center

権限のないサードパーティーが同社のサーバーの1つにアクセスした。漏洩した可能性のある患者情報は、氏名、診療日、住所、メディケイドID、生年月日など。

米国

Desert Pain Institute

同社で2021年9月13日にデータセキュリティ・インシデントが発生した。元患者、元従業員、現在の患者・従業員の重要な個人情報への不正アクセスがあった可能性がある。漏洩した可能性のある情報には、氏名、住所、生年月日、社会保障番号、納税者番号、運転免許証などが含まれる。

米国

Electronic Warfare Associates

2021年8月2日、データ漏洩が発生した。攻撃者が同社のEメールシステムをハッキングしてファイルを盗んだため。漏洩したデータには、氏名、社会保障番号、運転免許証が含まれる。

米国

Nationwide Laboratory Services

2021年5月19日に発生したランサムウェア攻撃で、患者の個人健康情報がアクセスがされた可能性がある。漏洩した可能性のある情報には、氏名、生年月日、検査結果、医療記録番号、メディケア番号、健康保険情報、社会保障番号が含まれる。（33,437）

米国

Urology Center of Colorado

この医療機関は、2021年9月7日にサイバー攻撃の標的となった。漏洩した可能性のあるデータは、患者の氏名、生年月日、社会保障番号、住所、電話番号、Eメールアドレス、医療情報など。

米国

Strategic Benefits Advisors

2021年9月19日に発生したランサムウェア攻撃で、攻撃者が同社のファイルにアクセスした。ファイルを盗んだ可能性もある。漏洩した可能性のある情報には、氏名、住所、社会保障番号が含まれる。

米国

Victory Health Partners

同社は、2021年9月23日にランサムウェア攻撃を受けた。この攻撃により、患者の氏名、住所、社会保障番号、生年月日などが被害を受けた。

タイ

シーサケート県公衆衛生局

2021年10月7日、ある人物が、タイの11の病院に入院している人々に関するデータを提供する投稿を、RaidForums上で共有した。National Cyber Security Agencyは、このデータは公衆衛生局から流出したものであると指摘した。（~100,000）

米国

Washington Central Unified Union School District

同学区は、2021年10月24日のサイバー攻撃の際に個人情報および健康情報がアクセスされた、または取得された可能性があることを公表した。漏洩した可能性のある情報には、氏名、住所、生年月日、健康保険番号、社会保障番号などが含まれる。

カナダ

トロント交通局

2021年10月29日に発見されたランサムウェア攻撃により、現役職員・元職員の個人情報が盗まれた可能性がある。漏洩した可能性のあるデータには、氏名、住所、社会保険番号が含まれる。（25,000）

米国

Robinhood

Robinhoodは、2021年11月3日に同社のサーバーに対する攻撃を受けたのちに、データ漏洩を公表した。攻撃者は、顧客500万人のEメールアドレス、さらに300万人のフルネーム、310人の氏名、生年月日、郵便番号を入手した。また、顧客約10人の「より広範な」情報が漏洩した。（~800万）

米国

Maxim Healthcare Group

2020年10月1日から12月4日の間に、一部の従業員Eメールアカウントに権限のない個人がアクセスした。氏名、住所、生年月日、連絡先情報、健康情報、社会保障番号などの個人情報がアクセスされた可能性がある。

カナダ

イースタンオンタリオ・カソリック教育委員会

同教育委員会がSt.Joseph Catholic Secondary Schoolの生徒の保護者に送ったメールに、生徒数百人とその保護者の個人情報が記載された文書へのリンクが含まれていた。流出した情報には、氏名、住所、連絡先情報が含まれていた。

カナダ

Eastern Health, Labrador-Grenfell Health & Central Health

2021年10月30日にニューファンドランド・ラブラドール州に対して行われたサイバー攻撃で、同保健当局のデータが盗まれた。漏洩した可能性のある情報は、氏名、生年月日、住所、Eメールアドレス、電話番号、医療ケアプラン番号など。

米国

Florida Heart Associates

2021年5月のランサムウェア・インシデントでFlorida Heart Associatesから盗まれたとされるデータを、最近になってPysaランサムウェアのオペレーターがダンプした。ダンプされたデータにはファイル数千件が含まれており、その多くには保護対象保健情報が含まれている。（45,148）

ドイツ

Medatixx

同医療用ソフトウェアベンダーは、2021年11月初旬にランサムウェア攻撃を受けた。この攻撃でどのデータが盗まれた可能性があるのかは現在のところ不明。

フィリピン

外務省

2021年11月9日、同省はデータプライバシーに問題がある可能性があるとの報告を受け、Online Passport Trackerのプラットフォームとデータソースを停止させた。

英国

Stor-a-File

この英国企業は、2021年8月にランサムウェア攻撃を受けた。その後、一部のデータがTorブログでリークされている。Stor-a-File社の顧客のうち少なくとも1社は医療関係の企業だが、国民健康保険サービスのデータが影響を受けたかどうかは不明。

米国

Aruba

「顧客の個人データ」に分類される情報を含むAruba Centralクラウド環境のアクセス・キーを、権限のない外部のアクターが使用した。このデータ・リポジトリは、顧客のWiFiネットワークに接続されたWiFiクライアント・デバイスと、WiFiクライアント・デバイスに関する位置情報データに関連している。流出したデータには、 Media Access Controlアドレス、IPアドレス、デバイスのOSの種類、ホスト名などが含まれる。

教育業界に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、教育業界関連の攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

暗号資産

PhantomウォレットやMetaMaskウォレットのダウンロードや、取引所サイトでの通貨交換を検討している暗号資産ウォレットユーザーを狙った数百件のインシデントを、2021年10月30日の週末にCheck Pointの研究者が観測した。多数のフィッシングサイトが、Google検索でオリジナルサイトの上に表示されるよう、Google広告を用いて宣伝されている。この数日間で、推定50万ドルが攻撃者によって盗まれたと考えられている。

重要インフラ

アクセンチュアとPrevailionの研究者は、脅威グループLyceumの主な標的が中東の通信事業者であることを立証した。2021年7月から10月にかけて、研究者たちは、イスラエル、モロッコ、チュニジア、サウジアラビアの通信事業者およびインターネットサービス事業者の中から、さらなる被害者を確認した。また、アフリカの外務省も標的となった。これらのキャンペーンにおいて、攻撃者はSharkバックドアとMilanバックドアを使用した。

テクノロジー：マイクロソフトApp Installerを利用してTrickbot、BazarLoaderに感染させる手口

2021年6月に発表されたマイクロソフトの新しいサイドロード機能「App Installer」を利用してTrickbotマルウェアとBazarLoaderマルウェアを配布するキャンペーンを、Mimecastの研究者が発見した。被害者は、顧客からの苦情を装ったメールを受け取るが、そのメールには偽装されたPDF文書へのリンクが含まれている。このリンクによって、ユーザーを本物に見えるGoogle Driveのダウンロードページに誘導され、そこでペイロードを含むアプリバンドルをダウンロードするよう促される。このキャンペーンの背後にいるアクターは、侵害されたネットワークをランサムウェアのオペレーターに販売していることで知られている。

銀行・金融：Netflix、Instagram、Twitterユーザーのクレカ情報盗む新たなAndroidマルウェア「MasterFred」

「MasterFred」と名付けられた新しいAndroidマルウェアを、Avastの研究者が分析した。このマルウェアは、Androidのユーザー補助機能サービスを利用して悪意のあるオーバーレイを表示する。このオーバーレイを使用することで、Netflix、Instagram、Twitterのユーザーを騙して偽のアカウント流出を理由にデータを提供させ、クレジットカード情報を盗み出す。このマルウェアが最初に観測されたのは2021年6月。セキュリティ研究者のAlberto Segura氏は2021年11月、ポーランドとトルコの銀行ユーザーを標的とした別のサンプルを観測した。

小売・ホスピタリティ

米連邦捜査局は、ランサムウェアグループが部族の所有するカジノを複数攻撃し、過去数か月の間に数百万ドルの損失をもたらしたことを詳述する、民間業界向け通知を発表した。こうした攻撃を行ったランサムウェアグループには、REvil、Bitpaymer、Ryuk、Conti、Snatch、Cubaなどがある。これらの攻撃により、カジノのシステムは停止し、接続されたシステムは使えなくなり、結果、ゲームフロア、レストラン、ホテル、ガソリンスタンドなどが閉鎖された。また、部族政府が所有する企業や公共サービス（政府、医療・救急サービス機関、学校など）も影響を受けた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。