Threat Report

Silobreaker-WeeklyCyberDigest

パナソニックのファイルサーバーに不正アクセス

Tamura

2021.12.03

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

パナソニックのファイルサーバーに不正アクセス

Vestasにランサムウェア攻撃

CS Energyにランサムウェア攻撃　発電所への影響はなし

2021年12月2日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

スコットランド

Swire Pacific Offshore

同社がサイバー攻撃を受け、商取引に関する秘密データや個人の秘密データの一部が失われた。Clopランサムウェアは、2021年11月24日に同社をリークサイトに掲載した。（1,000）

米国

Supernus Pharmaceuticals

同社は、2021年11月中旬にランサムウェア攻撃を受けたのち、Hiveランサムウェアのオペレーターのリークサイトに追加された。Hiveは、同社から1.5TBのデータを抜き取り、2021年11月14日にファイルを暗号化したと主張している。

カナダ

アルバータヘルスサービス

2021年11月25日に明らかになったプライバシー侵害の可能性があるインシデントののち、同州の新型コロナワクチン接種記録サイトが停止した。少なくとも12人のユーザーが、同サイトから他の人々の氏名、生年月日、ワクチン情報をダウンロードすることができていた。

パキスタン

国家データベース登録局

SIM認証プロセスがハッキングされた後に同局の生体認証データベースが侵害されたことを、パキスタンの連邦捜査局が発見した。ハッキングされた認証手法は、偽SIMカードの販売や金融詐欺行為に利用され、それらの標的は主に高齢者である。

米国

True Health New Mexico

2021年10月5日、True Health New Mexicoの現会員、元会員、一部のプロバイダー、およびNew Mexico Health Connectionsの元会員の情報が含まれたファイルに、権限のないサードパーティーがアクセスした。侵害されたデータには、氏名、生年月日、年齢、自宅住所、Eメールアドレス、保険情報、社会保障番号などが含まれている可能性がある。

日本

パナソニック

同社の社内ネットワークがサイバー攻撃の標的となった。2021年6月22日から11月3日の間に、攻撃者がネットワークにアクセスしていた。ファイルサーバー上の特定のデータが不正アクセスを受けた。

米国

One Community Health

この組織は、2021年4月20日に発生したデータ漏洩について、11月22日に報告した。患者の氏名、生年月日、住所、社会保障番号、保険情報などが抜き取られた可能性がある。Pysaランサムウェアのオペレーターが、今年初めに同組織をリークサイトに追加したとされている。

デンマーク

Vestas

同社は、2021年11月19日にランサムウェア攻撃の標的となった。同社の社内システムが影響を受け、データが侵害された。

カナダ

Headwaters Health Care Centre

2021年11月26日にデータ漏洩が発生した。この前日に不審なEメールアクティビティがあった。Headwaters社のサーバーから、アドレス帳に登録されている受信者に多数のスパムメールが送信された。

オーストラリア

タスマニア州警察、消防、救急局

脅威アクターが、過去12か月間に844回、警察職員のアカウントへの侵入を試みた。侵害されたログイン情報1件がダークウェブで販売されていることが判明したほか、タスマニア州消防局のWebサイトの一部が2週間以上にわたってハッカーに乗っ取られた。

オーストラリア

CS Energy

同社は、2021年11月30日に発生したランサムウェア攻撃に対応した。この攻撃によるCallide発電所およびKogan Creek発電所の稼働への影響はなかった。

米国

Kentucky Energy and Environment Cabinet（ECC）

2021年9月8日、ECCは、未編集の採掘許可申請書が天然資源省の現場事務所やEECが運営するWebサイトで公開されていることを発見した。その中には、鉱山所有者や管理者の、社会保障番号などの個人情報が含まれていた。

米国

DNA Diagnostics Center

2021年5月24日から7月28日の間に、個人情報を含むデータベースに権限のない人物がアクセスした。攻撃者は、2004年から2012年の間に収集された情報を含んだ特定のファイルを削除した可能性がある。影響を受けたデータは、フルネーム、社会保障番号、支払い情報など。（2,102,436）

米国

Medsurant Health

2021年9月30日、詳細不明の脅威アクターが、Medsurant Healthのシステムに対する攻撃によってデータにアクセスし、抜き取ったと同社に伝えた。データの抜き取りは2021年9月23日に始まり、11月12日まで続いていた。漏洩した可能性のある情報には、氏名、住所、生年月日、社会保障番号、診断情報、保険請求情報が含まれる。（~ 45,000）

カナダ

オンタリオ州公立学校教育委員会

2021年10月18日に発生したランサムウェア攻撃で、攻撃者が2000年以降のデータ約75GBを盗み出した。盗まれた可能性のある従業員、生徒、保護者の情報には、社会保険番号、銀行口座番号、クレジットカード番号、生年月日が含まれる。同教育委員会は、身代金が支払われたことを認めた。

米国

ブロワード郡公立学校群

2020年11月12日から2021年3月6日の間に、権限のない攻撃者が同学校群のシステムにアクセスした。漏洩した可能性のある職員および生徒のデータには、氏名、生年月日、社会保障番号、健康保険プランの情報が含まれる。

米国

Planned Parenthood LA

2021年10月9日から10月17日の間に、権限のないアクターが同組織のネットワークにアクセスし、ランサムウェアをインストールして、ファイルを抜き取っていた。漏洩したファイルには、氏名、生年月日、住所、保険証番号などの情報が含まれていた。（400,000）

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、銀行・金融関連の攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

Google Playを介してAndroid向けバンキング・トロージャンを拡散する最近のキャンペーンで使用されている数々の技術を、ThreatFabricの研究者が検証した。この4か月間で、Anatsa、Alien、Hyrda、Ermacが合わせて30万回超インストールされている。これらのキャンペーンにおいて、アクターらは検出を逃れるため、Google Playでの悪意あるフットプリントが軽減されたローダーを主に使用している。Anatsaは多くの場合、英国、米国、ヨーロッパ、オーストラリア、アラブ首長国連邦のユーザーを狙っている。Alienはポルトガルとスペイン、HydraとErmacは米国、ヨーロッパ、マレーシア、コロンビア、ペルーのユーザーを標的にしている。

テクノロジー

ドイツの連邦政府情報セキュリティ庁は、Apache HTTPサーバーにおけるサーバーサイドリクエストフォージェリの重大な脆弱性（CVE-2021-40438）が、少なくとも1つの攻撃に悪用されていることを明らかにした。攻撃者は、標的システムからユーザー認証情報のハッシュ値を取得しようとした。シスコも、この脆弱性を悪用しようとする試みに関する情報を2021年11月に入手した。同社のどの製品が今回の脆弱性の影響を受けているのかを特定するため、調査が進められている。今回の脆弱性については、複数のPoCエクスプロイトが公開されている。この問題は、Apache HTTPサーバーのバージョン2.4.49以降で対処済み。

政府

脅威アクターのWIRTEによるフィッシングキャンペーンを、カスペルスキーの研究者が検出した。このキャンペーンでは政府機関と外交機関が最大の標的となっており、アルメニア、キプロス、エジプト、ヨルダン、レバノン、パレスチナ、シリア、トルコの法律事務所、金融機関、軍事組織、テクノロジー企業も被害を受けた。スピアフィッシングメールは、有害なMicrosoft ExcelまたはWordの添付ファイルを標的に開かせるために使用される。第1段階のインプラントは、VBSスクリプトとPowerShellスクリプトで構成されており、Ferociousドロッパーも含まれる。VBSスクリプトはCOMハイジャックの技術を用いて、潜伏のためのレジストリキーを追加する。

暗号資産

ブロックチェーンのスタートアップのMonoX Financeは、脅威アクターがスマートコントラクトのバグを悪用して、同サービスのユーザーから3,100万ドルの暗号通貨を盗んだことを明らかにした。この暗号通貨取引所のコントラクトでは、売ったトークンと買ったトークン（今回の攻撃ではMONOトークン）が同じであることが許されていた。攻撃者は1つのMONOトークンを何度も売り買いすることができたため、トークンの価格は上昇。その結果、アクターはプール内の他のすべての資産を購入することが可能になった。

小売・ホスピタリティ

2月31日という存在しない日付のLinuxカレンダーシステムに潜む、CronRATという新たなリモートアクセストロージャンを、Sansecの研究者が発見した。このマルウェアは、ある国の国内最大のアウトレットを含む複数のオンラインストアで発見された。CronRATにより、Eコマースサーバーの持続的な制御が容易になり、ブラウザベースのセキュリティソリューションを回避するサーバサイドのMagecart攻撃によるデータ窃取が可能になる。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。