ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
キヤノンの社内データ300GB超を含んだ公開バケットをセキュリティ研究者が発見
VMware Horizonサーバーに影響与えるLog4jの重大な脆弱性にパッチ適用を
2022年1月27日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
インドネシア
インドネシア中央銀行
同銀行は、2021年12月にランサムウェア攻撃の標的となった。この攻撃によって公共サービスが中断されることはなく、重要なデータは盗まれなかったと同行は主張している。Contiランサムウェアのオペレーターはその後、攻撃で盗まれたとされるファイルを流出させている。同グループは、13.88GBのデータを所持していると主張している。
米国
Griggsville-Perry学区
同学区は2022年1月10日にランサムウェア攻撃の標的となった。この攻撃は、一部の電話を使用不能にするなど、他のネットワーク領域にも影響を与えた。ハッカーは、標的となったファイルを復号するのと引き換えに身代金を要求している。
米国
Anne Arundel Medical Center
同医療機関の所有者であるLuminis Healthは、2021年8月26日から9月14日の間に、権限のない個人が職員のメールシステムにアクセスしていたことを発見した。侵害された可能性のある情報には、氏名、生年月日、医療記録番号、社会保障番号が含まれる。
インド
Co-WIN
政府のCo-WINサーバーからデータが流出してRaid Forums上で売りに出されたとされている。流出した可能性のある情報には、氏名、年齢、性別、携帯電話番号、住所、新型コロナ検査の日付および結果が含まれる。その後、国家保健庁は、同プラットフォームは住所もワクチン接種のためのPCR検査結果も収集していないと述べ、流出を否定している。(~ 20,000)
米国
Peachtree Orthopaedic Clinic
このクリニックは、2022年1月3日、米国保健福祉省にデータ侵害についての報告を行った。この侵害はハッキングインシデントとして報告されており、どのデータが影響を受けた可能性があるかはまだ不明。(53,686)
米国
サクラメント郡
2021年6月22日、職員5名がフィッシングキャンペーンの標的となり、攻撃は成功した。この攻撃により、保健情報を含むレコード2,096件と、個人を特定できる情報のレコード816件が漏洩した。
ウクライナ
Diia
「FreeCivilian」と呼ばれるハッカーが、ウクライナ政府のWebポータルをハッキングしたと主張している。このポータルは、パスポート、IDカード、運転免許証などをアップロードするために国民によって使用されている。2022年1月21日、このハッカーは、盗んだとするデータを人気のハッキングフォーラム上で売り出した。
米国
Patriot Front
Unicorn Riotは、この極右団体に関する400GBを超えるデータを同団体のチャットサーバーから抜き出し、公開した。データには、動画、ダイレクトメッセージ、今後のキャンペーンの調整などが含まれている。
ブラジル
ブラジル中央銀行
同行は、Acesso Soluções de Pagamentoの顧客が、決済システムPixのデータを流出させたことを明らかにした。この流出は2021年12月3日から12月5日にかけて発生した。漏洩した可能性のあるデータには、ユーザー名、個人納税者登録番号、支店番号、口座番号が含まれる。(~160,100)
米国
University of Arkansas for Medical Sciences
元職員が患者の情報が記載されたExcel書類を含むメールを自らの私用メールアカウントに送信したことで、データ漏洩が発生した。漏洩した情報は、氏名、病院の口座番号、診療日、保険の種類など。また、一部の患者については、生年月日や薬の情報も漏洩した。(518)
米国
YMCA of Greater Charlotte
YMCAは、2021年9月に発生したランサムウェア攻撃によって発生したデータ漏洩の可能性について、一部の会員に注意喚起している。同組織は、影響を受けた会員の人数や、どのデータが影響を受けたかについては公表していない。
米国
Valley Regional Transit
同社は、2021年10月にランサムウェア攻撃の標的となった。攻撃者は、従業員、請負業者、および顧客に関するデータにアクセスし、削除することが可能だった。漏洩した可能性のある情報には、氏名、住所、生年月日、社会保障番号、運転免許証番号が含まれる。(535)
米国
Spokane Regional Health District
同保健区で、2021年12月21日に職員がフィッシングメールを開封したことにより、データ侵害が発生した。患者の個人健康情報を、攻撃者が「プレビュー」した可能性がある。流出した可能性のある情報は、姓名、生年月日、症例番号など。(1,058)
不明
セキュリティ研究者のAvi Lumelsky氏は、Amazon Web Services上の数千件の公開データベースを発見した。これには、秘密情報を公開状態にしているElasticSearchやKibanaダッシュボードのデータベースが含まれている。公開状態となったデータには、Eメール、住所、職業、給与、所在地、銀行口座、Kubernetesのプロダクションログなどの顧客情報が含まれている。
南アフリカ
Absa Group
同社は、2020年11月に発生したデータ漏洩について、これまで公表していたよりも多くの顧客に影響があったことを通知した。漏洩した情報には、ID情報、連絡先情報、取引口座番号が含まれる。
米国
St. Lucie County’s Drug Screening Lab
この研究所は、2017年6月2日から2021年10月13日の間に、同研究所のWebポータルのユーザーが情報を流出させたり、情報へのアクセスを可能にしたりしていた恐れがあることを発見した。侵害された可能性のある情報には、フルネーム、社会保障番号、生年月日、ラボ検査の種類と結果に関する情報が含まれる。(14,528)
スイス
スイス連邦鉄道
名前不詳のIT専門家が、公共交通機関プラットフォーム「NOVA」から顧客記録をダウンロードできることを発見した。この情報流出により、SwissPassのネットワーク全体が影響を受け、結果として国内のほぼすべての公共交通機関に影響が及んだ。流出した可能性のある情報は、氏名、生年月日、購入されたチケットの枚数、出発地と到着地など。(~ 500,000)
日本
Canon(キヤノン)
セキュリティ研究者の「_boris」氏が、300GB超のデータを含む公開バケットを発見した。公開状態になっていたデータには、社内文書、文書テンプレート、社内メモ、Microsoft Teamsの記録済みセッション、ユーザー名とパスワードを含むWordPressサイトのバックアップなどがあった。
米国
オレゴン州リン郡
同郡は、2022年1月24日、複数のコンピューターがランサムウェアに感染していることを発見した。感染の拡大を最小限に抑えるため、影響を受けたすべてのコンピューターシステムは直ちにシャットダウンされた。
米国
Pennsbury学区
ペンシルバニア州の同学区で、2022年1月23日のサイバー攻撃によるデータ漏洩が発生した。このインシデントで、同学区のインターネットサービスが影響を受けた。どのデータが影響を受けたかはまだ不明。
銀行・金融に関連して言及されたマルウェア
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のマルウェアを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
政府
Trellixの研究者は、西アジアの国家安全保障に携わる政府関係者や防衛産業に携わる個人を標的とした多段階のスパイキャンペーンを確認した。ポーランドやその他の東欧諸国も標的になっていた。キャンペーンで使用された最初のドメインは2021年7月に登録されており、キャンペーン自体は2021年10月から11月にかけて行われていた。攻撃者は、MSHTMLのリモートコード実行の脆弱性(CVE-2021-40444)を利用し、Graphiteマルウェアを展開した。研究者は、このキャンペーンは脅威アクターAPT28によるものだと、中程度の確度で評価した。
暗号資産:新しい不正な暗号資産トークンを詐欺師らが作成
詐欺師らが新しい不正な暗号資産トークンを作成し、ユーザーを誘い込んで購入させているのを、Check Pointの研究者が確認した。詐欺師らは、スマートコントラクトの機能の設定ミスを利用して、ユーザーから資金を盗む。その手口の1つに、ハッカーが隠された手数料を実装し、後にそれをより高い手数料に変更するというものがある。もう1つの方法は、隠されたミント機能を使用して、より多くのコインを作成したり、売却を許可された人を制御したりするというもの。一部のトークンは有害ではないが、コントラクトのソースコードにセキュリティ上の脆弱性が含まれており、それを悪用して資金を盗むことが可能。
テクノロジー:VMware Horizonサーバーに影響与えるLog4jの重大な脆弱性にパッチ適用を
VMwareは顧客に対し、インターネット上で公開状態となっているVMware Horizonサーバーに影響を与えるLog4jの重大な脆弱性にパッチを適用するよう促した。最近、初期アクセスブローカーグループであるProphet SpiderがHorizonサーバーを標的にしていることが確認された。これらの欠陥(CVE-2021-44228、CVE-2021-45046、CVE-2021-4104、CVE-2021-45105 )は、NetAtlas Element Management Systemにも影響を与えることが判明している。Zyxelは、影響を受ける製品のホットフィックスをリリースしており、2022年2月下旬にフルパッチをリリースする予定。オランダ国家サイバーセキュリティセンターは、おそらく脅威アクターらはこれらの脆弱性を利用して新たな標的の侵害を試み続けるだろう、と警告している。
重要インフラ
アンドラ唯一のネットワークプロバイダーであるアンドラ・テレコムが、2022年1月21日に分散型サービス拒否(DDoS)攻撃の標的となった。2時間以上続いたこの攻撃により、国内全域でインターネットが使えなくなった。今回のインシデントは、アンドラ在住の有名なスペイン人ストリーマーが多数参加したTwitch Rivalsの「SquidCraft」大会と時期が重なった(「SquidCraft」はマインクラフトと「イカゲーム」を組み合わせたもの)。Redditのユーザーの中には、これがDDoS攻撃の動機になったのではないかと疑う者もいる。
銀行・金融
Chaesマルウェアの活動が2021年第4四半期に増加したことを、Avastの研究者が発見した。このバンキング型トロイの木馬は、複数の侵害されたWordPressのWebサイトを通じて配布されており、マルウェアのアーティファクトは合計800以上のWebサイトで発見されている。Chaesは、JavaScript、Python、NodeJSなどのスクリプトフレームワークや、有害なGoogle Chrome拡張機能を起動するDelphiで書かれたバイナリを利用した、多段階の配信を行う。Chaesには、バックドアを設置する、潜伏メカニズムを設定する、Chrologツールを使ってChromeに保存された個人データやパスワードを抜き取る、といった、さまざまなモジュールやツール、機能が備わっている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-21-27-january-2022/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/