Threat Report

Silobreaker-WeeklyCyberDigest

LINE Pay、日本、台湾、タイのユーザーの決済情報がGithubで公開状態に

Tamura

2021.12.10

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

LINE Pay、日本、台湾、タイのユーザーの決済情報がGithubで公開状態に

米国の少なくとも49の重要インフラ組織がCubaランサムウェアの標的に：FBIとCISA

Abiom社、オランダ政府、警察、救急隊などに関する文書39,000件流出

2021年12月9日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

ドイツ

Kisters AG

2021年11月10日に発生したランサムウェア攻撃の後、Conti脅威アクターグループが、同社のサーバーから盗まれたとされるデータの5％を一時的に公開した。その後削除されたが、理由は不明。

米国

Delta-Montrose Electric Association

同社は、2021年11月7日に発見されたサイバー攻撃により、25年分の履歴データを失ったとされている。ZDNetによると、このインシデントはランサムウェアによる攻撃だった可能性があるとのこと。同社は、従業員や顧客の慎重に扱うべきデータは侵害されていないと主張している。

カナダ

Social Enterprise for Canada

2021年11月23日、同組織のシステムがランサムウェアによって暗号化された。攻撃は2021年12月1日までにエスカレートし、添付されたリンクを押さなければ個人情報を漏洩すると脅す内容のメールを一部の顧客が受信した。

中国

不明

所有者不明のElasticSearchサーバーが、2020年11月以降、32万9,144件の慎重に扱うべきレコード（合計約500MBのデータ）を公開状態にしていた。これは、名称不明の中国のエンタープライズリソースプランニング会社のものと考えられている。漏洩したデータには、購入者名、電話番号、Eメールアドレス、配送先住所、請求先住所が含まれる。漏洩したEコマース販売者のデータには、氏名、Eメールアドレス、請求先住所、推定利益が含まれる。（~ 150,000）

米国

Gale Healthcare Solutions

同社が所有する、パスワードで保護されていないデータベースが発見された。このデータベースには、従業員の氏名、電話番号、メールアドレス、自宅住所、画像、社会保障番号が記載された税務書類など、17万239件のレコードが含まれていた。

米国

テュレーン大学警察局

同局の編集されていないDaily Activity Reportが、テュレーン大学のEメールアドレスを持っている人なら誰でもアクセスできる状態になっていた。このファイルにより、同局とのやり取りがあった被害者、目撃者、通報者、医療機関の受診を求める個人、容疑者の名前が公開状態になっていた。また、生年月日、電話番号、住所も閲覧可能になっていた。

米国

Gravatar

2020年に初めて確認されたアドオンサービス内の脆弱性により、氏名やユーザー名のほか、メールアドレスのMD5ハッシュがスクレイピングされ、配布されていた。MD5ハッシュのうち、1億1,400万個弱がクラックされ、ソースハッシュと一緒に配布されたため、元のメールアドレスが明らかになってしまった。（167,000,000）

米国

CareFirst BlueCross BlueShield Community Health Plan District of Columbia

Snatch脅威アクターグループは、2021年1月のランサムウェア攻撃の後、自らのダークウェブ・リークサイトに同社を追加した。Snatchグループは、25GBのデータが抜き取られたと主張している。証拠として公開されたデータには、保護対象医療情報を含む複数のファイルが含まれている。（200,665）

日本

LINE Pay

2020年12月から2021年4月までの日本、台湾、タイのユーザーの決済情報を、従業員が誤ってGithubで公開してしまった。このデータにアクセス可能だったのは10週間の間で、取引の日時や金額、ユーザーやフランチャイズ店の識別番号が公開状態になっていた。（133,000）

不明

Spectral社の研究者は、オープンソースのKafka UIおよび管理インターフェースであるKafdropの設定ミスにより、完全なApache Kafkaクラスターがインターネット上に公開されていることを発見した。影響を受けた業界は、保険、ヘルスケア、IoT（モノのインターネット）、メディア、ソーシャルネットワークなど。顧客データ、取引情報、医療記録、内部システムのトラフィックなどが漏洩した。

ノルウェー

Nordic Choice Hotels

2021年12月2日にサイバー攻撃が発生し、予約やチェックインなどのシステムに影響があった。顧客の予約情報、Eメール、電話番号などが影響を受けた可能性がある。

オランダ

Abiom

Volkskrantは、同社がLockBitランサムウェアのオペレーターの標的になったと報告した。同アクターは、オランダ政府、警察、救急隊などに関連する39,000件の文書を流出させた。漏洩した情報には、ID文書、警察の請求書、秘密情報、国防省が使用する機器の詳細情報が含まれている。

デンマーク

Vestas

同社は、最近のランサムウェア攻撃でデータが盗まれたことを認めた。また、データが流出し、サードパーティーと共有された可能性もある。

米国

ペリシッピ・ステート・コミュニティ・カレッジ

同大学で、2021年12月6日にネットワーク障害が発生し、その後ランサムウェアによる攻撃と特定された。2021年12月7日の時点で、キャンパス内のすべてのネットワーク接続が停止したままになっていた。

フランス

RATP Group

同社が所有する古いHTTPサーバーが公開状態になっており、アクセス可能になっていた。公開状態となったデータには、設定ファイルやAPIキーを含むソースコード、および300万件超のレコードを含むSQLデータベースが含まれていた。その中には、氏名、メールアドレス、ログイン名、ハッシュ化されたパスワードなど、個人を特定できる情報が含まれていた。（57,000）

メキシコ

MaxiPublica

社内でのミスにより、データ漏洩が発生した。これは、同社システムがすべてのユーザーおよびユーザーの顧客に対し、データベース全体へのリンクを含むメールを送信してしまったことが原因。企業約2,400社も影響を受けていると考えられる。（1,500,000）

カナダ

マイクロソフト・バンクーバー支社

2021年9月、Cyber Newsの研究者は、誰もがアクセス可能なWebサーバー上でDesktop Services Storeファイルが公開状態になっているのを発見した。このファイルには、企業Webサイトの管理者のメールアドレスとMD5でハッシュ化されたパスワードを含む複数のWordPressデータベースへのリンクが含まれていた。

オーストラリア

CS Energy

同社は、2021年11月に発生したランサムウェア攻撃の後、Wizard Spider脅威グループに属するContiランサムウェアのリークサイトに掲載された。

政府に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、政府関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

Android向けバンキング・トロージャンのBRATAを配布するスミッシングキャンペーンが、イタリアの大手小売銀行の顧客を標的としている。一方で、10月中旬に発見されたサンプルでは、イタリアの3つの銀行の顧客が標的となっていた。銀行を装った偽のSMSメッセージには、被害者から認証情報や他の関連情報を盗むために使用されるフィッシングサイトへのリンクが含まれている。このマルウェアには、SMSメッセージの傍受、画面の録画やキャスト、感染したデバイスからの自己削除（検出率を下げるため）、デバイスの設定変更など、リモートアクセス・トロージャンの機能がある。

教育

Proofpointの研究者は、新型コロナ検査の情報やオミクロン株の話題といったルアーを使って主に北米の教育機関を標的にする、認証情報窃取キャンペーンが増加していることを観測した。これらのルアーを用いたキャンペーンは、2021年10月に始まった。フィッシングメールには、有害な添付ファイルやURLが含まれており、ランディングページは、大学のログインポータルや一般的なOffice 365のログインポータルを模したものである場合が多い。研究者はまた、一部のキャンペーンで、脅威アクターらが多要素認証の認証情報を入手しようとしていることも観測した。

重要インフラ：米国の少なくとも49の重要インフラ組織がCubaランサムウェアの標的に　FBIとCISA

米国連邦捜査局（FBI）は、CISA（Cybersecurity and Infrastructure Security Agency）と共同でフラッシュアラートを発表し、2021年11月の時点で、少なくとも49の米国の重要インフラ組織がCubaランサムウェアのオペレーターによって侵害されていることを明らかにした。標的となっているのは、金融、政府、医療、製造、情報技術などの業界。また、FBIは、同アクターが少なくとも7,400万ドルの身代金支払いを要求し、少なくとも4,390万ドルを受け取ったことを明らかにした。

政府

APTアクターのSideCopyが新たな初期感染経路と、AuTo Stealerと呼ばれる新たなスティーラーを使用していることをMalwarebytes Labsの研究者が確認した。SideCopyは主に南アジア諸国、特にインドとアフガニスタンを対象に、スパムやフィッシング・キャンペーンを行っている。これまでに、アフガニスタンの大統領府、外務省、財務省、国家調達庁などを標的とした攻撃に成功している。SideCopyはこれらの被害者から、認証情報、政府ポータルへのアクセス、銀行サービス、TwitterやFacebookなどの個人アカウント、パスワードで保護された文書、外交官ビザや外交官IDカードなどのデータを流出させた。

小売・ホスピタリティ

Geminiの研究者は2021年2月4日以降、316のEコマースサイトをトロイの木馬化したGoogle Tag Manager（GTM）コンテナに感染させる、継続的なMagecartキャンペーンを観測した。ある感染形態では、コンテナに悪意のあるe-skimmer JavaScriptが埋め込まれている。別の感染形態では、すべての被害者に単一のGTMコンテナが使用されており、そのコンテナには、データ流出にも使用される別のデュアルユースドメインからe-skimmerスクリプトをダウンロードするスクリプトが格納されている。研究者は、これらの感染形態が2つの異なるMagentoグループによるものだと考えている。このキャンペーンの標的は主に米国のMagento 2ユーザーだったが、カナダ、ドイツ、イタリア、オーストラリア、英国などでも標的が確認された。このキャンペーンに関与した者は、これまでに少なくとも88,000件の決済カードデータをダークウェブに投稿している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。