Threat Report

Log4j

Silobreaker-WeeklyCyberDigest

Log4jの脆弱なバージョン使用するベトナム企業の決済システムにサイバー攻撃

Tamura

2022.01.07

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

Log4jの脆弱なバージョン使用するベトナム企業の決済システムにサイバー攻撃

セガヨーロッパ、慎重に扱うべきファイルを誤って公開状態のAWS S3に保存

北朝鮮APT「Konni」、ロシア標的にスピアフィッシング

2021年1月6日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

D.W. Morgan

設定に誤りがあり、誰もがアクセス可能となったAmazon Web Services S3バケットが発見された。2013年から2021年後半までの100GBを超える秘密データが公開状態になっていた。公開状態になっていたデータセットには、フルネーム、電話番号、メールアドレス、デジタル署名など、慎重に扱うべき顧客データや従業員の個人を特定できる情報が含まれていた。

米国

Broward Health

2021年10月15日、権限のない攻撃者が、サードパーティーの医療機関の事務所を経由して、同病院のネットワークにアクセスした。攻撃者によって抜き取られた情報は、氏名、誕生日、住所、電話番号、金融機関または銀行口座情報、社会保障番号など。

米国

LastPass

2021年12月25日、600万件のRedLine Stealerのログを公開しているサーバーが発見された。これらのログは、2021年8月と9月に収集された盗難データのもの。ログには、盗まれたLastPassの認証情報と固有のメールアドレスが含まれていた。 (441,659）

米国

Saltzer Health

2021年5月25日から6月1日にかけて、職員のメールアカウントに権限のない個人がアクセスしていた。漏洩した可能性のある情報は、氏名、連絡先情報、運転免許証または州の身分証明書番号、社会保障番号、金融口座など。（15,650）

米国

UVA Health

2021年12月3日、同病院は、ベンダーであるCiox Healthから、データ侵害の影響を受けたとの通知を受けた。Ciox Healthによると、職員のメールアカウントに権限のない人物がアクセスしていたとのこと。2021年6月24日から7月2日の間にUVA healthにアクセスしていたこの攻撃者は、患者情報を閲覧できていた可能性がある。（429）

米国

PulseTV

同社のサイトがMastercardの不正決済のCPPになっていることが判明したことから、顧客の個人情報やクレジットカードデータが流出した可能性がある。また、漏洩した可能性のある情報には、氏名、住所、メールアドレスが含まれていた。（200,000）

英国

セガヨーロッパ

同社は、慎重に扱うべきファイルを、誰もがアクセス可能なAmazon Web Services S3バケット上に誤って残していた。このバケットには、複数のAWSキーと、MailChimpおよびSteamのキーが含まれていた。このバケットにより、Football Managerフォーラムのユーザー数十万人の情報を含むユーザーデータにアクセスできるようになる可能性がある。

米国

Shutterfly

同社は、2021年12月にContiランサムウェアの攻撃を受けた。Contiのオペレーターは、Shutterflyのデータリークサイトを作成し、法律関連の契約書、銀行口座情報、マーチャントアカウント情報、企業サービスのログイン認証情報、スプレッドシート、および顧客のものと思われる情報など、盗んだデータのスクリーンショットを掲載した。

ポルトガル

Impresa

年始に行われたLapsus$ランサムウェアグループのサイバー攻撃で、同メディアコングロマリットのITサーバーインフラが影響を受けた。同社は週刊紙ExpressoとテレビチャンネルSICを所有しており、この2社も影響を受けた。ImpresaとExpressoの両Webサイトが影響を受け、SICのテレビチャンネルは2022年1月2日時点で、全てオフラインになっている。

ベトナム

ONUS

同社は、Apache Log4jの脆弱なバージョンを使用していた決済システムに対するサイバー攻撃を受けた。抜き取られたデータには、氏名、メールアドレス、電話番号、住所、暗号化されたパスワードなどが含まれている。2021年12月25日、同社が身代金の支払いを拒否したことを受け、アクターはONUSの顧客のデータを漏洩データ向けのマーケットプレイス上で売りに出した。（2,000,000）

フランス

Inetum SA

同社は、2021年12月19日にランサムウェアの攻撃を受け、フランス国内の一部業務が影響を受けたことを明らかにした。LeMagItによると、このインシデントにはBlackCatランサムウェアが関与していたとのこと。

オランダ

Spar

脅威アクターグループのVice Societyが、2021年12月6日のJames Hall & Co.に対する攻撃の犯行声明を出している。この攻撃は、イングランド北部の600以上のSpar店舗に影響を与えた。このグループは、マン島に19のSpar店舗を所有するHeron and Brearley社も標的にしたと主張している。Vice Societyはそれ以後、攻撃で盗まれた93,000件超のファイルをダンプしている。

米国

McMenamins

同社は、2021年12月12日に発生したContiランサムウェアによる攻撃で、1998年1月1日以降の内部従業員データが侵害されたことを認めた。流出した可能性のある情報は、氏名、住所、電話番号、メールアドレス、誕生日、社会保障番号など。攻撃者は、振り込み用銀行口座情報を含むファイルにアクセスした可能性がある。

米国

UScellular

攻撃者が、個人情報を含む携帯電話顧客のアカウントにアクセスした。流出した可能性のある情報には、氏名、住所、PINコード、携帯電話番号が含まれる。（405）

米国

DatPiff

Have I Been Pwnedは、ユーザーのメールアドレス、クラック済みパスワード、ユーザー名、秘密の質問など、DatPiffメンバーのレコードがネット上で販売されていると注意喚起した。（7,476,940）

米国

Texas ENT Specialists

同社は2021年8月9日にサイバー攻撃を受け、患者の医療データが影響を受けた。流出した可能性のある情報には、氏名、誕生日、医療記録番号、社会保障番号、請求コードが含まれる。（535,489）

米国

ベルナリオ郡

2021年1月5日、ランサムウェアによるものとみられる攻撃が発生した。同郡は、影響を受けたシステムをオフラインにし、いくつかの建物を閉鎖した。

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー

Check Pointの研究者は、マイクロソフトのデジタル署名検証を悪用したZloaderキャンペーンを発見した。このキャンペーンは2021年11月に初めて観測され、これまでに20を超える国で2,170件の被害が確認されているが、被害の多くは米国内で発生している。研究者は、過去のキャンペーンとの類似性から、脅威アクターMalSmokeがこのキャンペーンの背後にいると考えている。初回アクセスには、正規の遠隔監視ソフトウェアであるAteraが使用される。攻撃チェーンでは、有効なマイクロソフトのファイル署名付きの修正されたDLLファイルが使用されるが、この手法は2013年にパッチがリリースされた既知の欠陥によって実行可能になっていた。

小売・ホスピタリティ

クラウド動画プラットフォームを利用して複数の不動産サイトにスキマーを配信するサプライチェーン攻撃を、Palo Alto Networks Unit 42の研究者が発見した。The Recordは、この攻撃に関連する標的ドメインから、被害者はSotheby’sであると断定した。スキマーのJavaScriptコードは、クラウド動画プラットフォームであるBrightcoveのプレーヤーに注入されていた。動画がWebサイトに取り込まれるたびに、サイトがスキマーに感染していた。スキマーは、入力フィールド内のクレジットカード番号をチェックし、名前やメールアドレスなどの他の情報と一緒にカードの詳細をキャプチャする。

銀行・金融

脅威アクターがブラジルの銀行Itau Unibancoを標的に、被害者が知らないうちに不正な金融取引を行うために使用する悪意のあるアプリケーションを、Cybleの研究者が発見した。sincronizadorと名付けられたこのマルウェアは、カスタムドメイン上でホストされていた。Cybleの研究者はその後、同マルウェアが偽のGoogle Play Storeページでもホストされており、少なくとも1,895,897回ダウンロードされていることを発見した。同アプリケーションはユーザーの入力フィールドを改ざんすることで、銀行の正規アプリ上で不正な金融取引を実行しようとする。

重要インフラ

NTTセキュリティの研究者が新しいマルウェアFlagproを確認した。Flagproは、BlackTechグループによって遅くとも2020年10月から使用されている。このマルウェアの標的は、日本の防衛、メディア、通信関連の企業。同マルウェアは、標的の組織用にカスタマイズされたスピアフィッシングメールを通じて配信される。メッセージには、標的のビジネスパートナーに関する言及があり、パスワードで保護されたアーカイブが含まれている。研究者は、このグループが新たなマルウェアSelfMake LoaderとSpider RATにも着手したと警告した。

政府

北朝鮮の高度持続型脅威グループのKonniに関連する、2021年12月20日に始まった攻撃をCluster25の研究者が分析した。この攻撃は、ロシアの外交部門を標的に、大晦日の話題を利用したスピアフィッシングメールを使って行われた。検証されたメールは、インドネシアのロシア大使館に送られたもので、セルビアのロシア大使館の正規アドレスを模倣したメールアドレスから送信されていた。このメールは、正規のスクリーンセーバーを装ったリモートアクセス型トロイの木馬「Konni」を配布していた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。