Threat Report

Log4j

Silobreaker-WeeklyCyberDigest

脆弱性「Log4Shell」を多数のマルウェアやアクターが悪用

山口 Tacos

2021.12.17

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

Apache Log4jの脆弱性「Log4Shell」を多数のマルウェアやアクターが悪用（CVE-2021-44228）

ブラジル保健省にランサムウェア攻撃、ワクチンデータ数百万人分が利用不能に

大塚製薬の米関連会社に属する公開バケットをセキュリティ研究者が発見か

2021年12月16日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Cox Communications

攻撃者がサポート担当者を装い、Coxの顧客の個人情報にアクセスした。攻撃者が閲覧した可能性のあるデータは、名前、住所、電話番号、Cox[.]netのメールアドレス、ユーザー名など。

南アフリカ

政府

政府の給与計算ソフトの外注先であるFrontier Softwareがランサムウェア攻撃の標的となった。2021年12月9日、同社のシステムから政府職員の個人情報が盗まれ、ダークウェブ上で公開されたことが確認された。漏洩したデータには、氏名、生年月日、税務ファイル番号、自宅住所、銀行口座情報などが含まれる。

米国

Atalanta

2021年7月25日に発見されたランサムウェア攻撃により、従業員の個人情報漏洩が発生した。現従業員と元従業員、および一部の訪問者のデータに、アクターがアクセスしていた。

デンマーク

Vestas

2021年11月19日のランサムウェア攻撃で、ハッカーが個人情報を含むファイルを抜き取った。漏洩した情報は、名前、住所、電話番号、居住国など。また、パスポート、運転免許証、社会保障番号、診断書、銀行口座情報などが流出した例もある。

日本

M3ロジ

セキュリティ研究者の「_boris」氏は、誰でもアクセス可能な状態になっている同輸送サービス企業のバケットを発見した。公開状態のファイルの中には、車両輸送依頼書やインボイスなど、数千件の慎重に扱うべき文書が含まれている。

スウェーデン

ボルボ・カー

ボルボのファイルリポジトリにサードパーティーが不正にアクセスし、研究開発データの一部が盗まれた。Snatchランサムウェアは、2021年11月30日に同社をリークサイトに追加し、証拠として盗まれたファイルのスクリーンショットを添付していた。その後、同アクターは、攻撃中に抜き取ったものだと主張する35.9MBのデータをリークした。

米国

Great Plains Manufacturing

2021年9月28日、権限のない個人複数名が同社のシステムにアクセスした。アクセスされたのは、同社の医療保険に加入している従業員とその扶養家族の個人情報を含むファイル。漏洩した可能性のあるデータには、氏名、生年月日、社会保障番号、健康保険番号、健康プランの選択が含まれる。

米国

大塚アメリカファーマシューティカルInc.

セキュリティ研究者の「_boris」氏は、同ヘルスケア企業に属する公開バケットを発見した。このバケットには、複数の署名や社内研修の内容と、その他の慎重に扱うべきデータなど、26GBのデータが含まれている。

南アフリカ

スタンダード銀行、Lightstone Property

両社は、オンラインプラットフォームのLookSeeが、同国内の複数の不動産所有者の情報へのアクセスに使用されたことを明らかにした。漏洩した可能性のあるデータには、氏名、ID番号、法人登録番号、配偶者の有無、住所が含まれる。

米国

BioPlus Specialty Pharmacy Services

2021年10月25日から11月11日にかけて、BioPlusのネットワークに権限のない者がアクセスしていた。この侵入により、現在および過去の患者の氏名、生年月日、住所、医療情報、および一部の社会保障番号などのデータが漏洩した可能性がある。

ブラジル

保健省

2021年12月10日のランサムウェア攻撃の後、同省に属するすべてのWebサイトがオフラインとなり、数百万人分の新型コロナワクチン接種データが利用できなくなった。脅威アクターLapsus$ Groupがこの攻撃の犯行声明を出し、この攻撃で50TBのデータを抜き取ったと述べている。

米国

ホワイトハウス独立学区

2021年7月8日に発生したランサムウェア攻撃により、一部の生徒の個人情報が流出した可能性があることを、同学区が12月10日に認めた。漏洩した可能性のある情報には、氏名、社会保障番号、健康情報、生年月日が含まれる。

ポーランド

シフィェンティクシシュ県

Nowinyにあるコミューン（行政区）事務所の職員が感染したリンクを開き、それによりマルウェアが起動してサーバーが暗号化された。これにより同自治体でデータ漏洩が発生した。4つのデータベースから、数百人の現職員、元職員、請負業者のデータが流出した。漏洩した可能性のある情報は、氏名、生年月日、出生地、銀行口座番号、身分証明書番号など。

米国

Ultimate Kronos Group

2021年12月11日、Kronos Private Cloudを利用したソリューションに影響を与えるランサムウェア攻撃が発見された。このプライベートクラウドには、UKG Workforce Central、UKG TeleStaff、Healthcare Extensions、Banking Scheduling Solutionsが展開されている。同社は、システムを再び利用可能にするためには最大で数週間かかる可能性があると警告した。

米国

Virginia’s Division of Legislative Automated Systems

2021年12月10日、同IT機関がランサムウェア攻撃の標的になり、バージニア州の議会運営に影響が出た。同州議会の内部サーバー、予算システム、ボイスメールシステムが影響を受けたほか、攻撃によって議会警察局のWebサイトもダウンしている。

米国

Oregon Anethesiology Group

2021年10月21日、同社は、患者や従業員のファイルを含むウクライナのアクターHelloKittyのアカウントを差し押さえたとの連絡をFBIから受けた。漏洩した可能性のある患者の情報には、氏名、住所、医療情報、社会保障番号などが含まれる。

米国

ノースイースタン大学

新型コロナワクチン登録者の個人情報が、ボストンキャンパスにワクチンを提供するサードパーティーであるPelmedsによって漏洩した。同社がWebサイト上で公開したデータには、氏名、生年月日、住所、健康問題などが含まれる。

米国

Doxy[.]me

セキュリティ研究者のZach Edwards氏は、CyberScoopと共同で、この遠隔医療プラットフォームが患者のかかる医療機関名、IPアドレス、固有のデバイス識別番号をFacebook、Google、HubSpotと共有していることを発見した。

ニュージーランド

Kiwibank

セキュリティ研究者「_bori」は、この国有銀行に属する、誰でもアクセス可能なバケットを発見した。ファイルの中にはWebサーバーのログが含まれており、その大部分はダウンロードすることが可能。

カナダ

Superior Plus

2021年12月12日に始まったランサムウェア攻撃により、この天然ガス供給会社が被害を受けた。同インシデントの調査を行うため、一部のコンピュータシステムとアプリケーションが使用不能になった。同社は、どのシステムが攻撃の影響を受けたかを明らかにしなかった。

米国

シェリー学区

2021年12月6日、ランサムウェア攻撃が発見された。Local News 8は、生徒情報や学区の財務情報が失われることはなかったとの情報を得た。同学区はマルウェアを、それらのサーバーに到達する前に止めることができたとのこと。

Bansley and Kiener LLP

攻撃者は、2020年12月のランサムウェア攻撃の後、同社のシステムから複数のファイルを持ち出した。これらのファイルには、氏名や社会保障番号など、秘密の顧客情報が含まれていた。

ヘルスケアに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、ヘルスケア関連の攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー：Apache Log4jの脆弱性「Log4Shell」を多数のマルウェアやアクターが悪用（CVE-2021-44228）

最近発見されたApache Log4jの脆弱性「Log4Shell」（CVE-2021-44228）は、Muhstik、Mirai、Elknotボットネット、Kinsing、Khonsariランサムウェア、Orcus、StealthLoaderなど、多くのマルウェアによって悪用されている。また、Charming KittenやHafniumのような国家脅威アクターが同脆弱性を利用しているのも観測されている。Log4Shellはバージョン2.15.0で修正されたものの、Apacheは後に、パッチが特定の非デフォルトの構成においては不完全であった旨を公表している。この新たな問題（CVE-2021-45046）は、サービス拒否につながる可能性がある。追加の修正は、Java 7向けのLog4j 2.12.2、およびJava 8以降向けのLog4j 2.16.0でリリースされた。Cybereasonは、すぐにアップデートできないシステムに適用可能な同脆弱性のワクチンを公開した。

政府：ブラジル保健省にランサムウェア攻撃、ワクチンデータ数百万人分が利用不能に

ブラジル保健省に属するすべてのWebサイトが、2021年12月10日のランサムウェア攻撃によってオフラインとなり、新型コロナワクチン接種のデータ数百万人分が利用できない状態となった。脅威アクターのLapsus$ Groupが犯行声明を出し、50TBのデータを持ち出したと主張した。同省は2021年12月13日、2度目のサイバー攻撃の標的となった。この攻撃はシステムを再びオンラインにするのを妨害したと報じられている。

重要インフラ

イスラエル、ヨルダン、クウェート、サウジアラビア、アラブ首長国連邦、パキスタン、タイ、ラオスの電気通信事業者、ITサービス、公益事業会社を標的としたスパイキャンペーンを、シマンテックの研究者が観測した。研究者は、攻撃者がイランのSeedwormグループと関連している可能性を示唆する複数の証拠を発見したが、まだ確証はない。この攻撃で使用されるものには、正規のツール、 living-off-the-land（環境寄生型/自給自足型の）戦術、一般公開されているマルウェアが混在している。攻撃者が使用するツールには、ScreenConnect、RemoteUtilities、Ligolo、Mimikatz、Password Dumper、キーロガーなどがある。

銀行・金融

394の金融機関の顧客を狙ったAndroidマルウェア「Anubis」のキャンペーンを、Lookoutの研究者が発見した。標的には、Orange S.A.のフランスの顧客のほか、Bank of America、U.S. Bank、Capital One、Chase Bank、SunTrust、Wells Fargoといった米国内の銀行が含まれる。攻撃者は、Orange S.A.のAndroidアプリになりすまし、悪意のあるWebサイト、ソーシャルメディア上のダイレクトメッセージ、スミッシング、フォーラム投稿を通じて偽アプリを配布している。アプリは、金融機関、暗号資産ウォレット、仮想決済プラットフォームを標的とし、ログイン認証情報を盗み出そうとする。

小売・ホスピタリティ

WooCommerceの潜在的な脆弱性を利用した新たなMagecart攻撃3件を、RiskIQの研究者が観測した。まず、難読化されたコードを持つMagecartスキマー「WooTheme Skimmer」（2021年7月に発見）が5つのドメインで検出された。2つめのスキマー「Slect Skimmer」は、データを抽出したくない複数のフォームフィールドを探す。このスキマーの抽出ドメインは、以前、他のMagecartインフラストラクチャに関連付けられ、Grelosスキマーの亜種によって使用されていた。3つ目の「Gateway Skimmer」は、複数のレイヤーとステップを使用してプロセスを難読化する。このスキマーは、個人を特定できる情報やクレジットカードのデータを抜き取る。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。