Threat Report

Silobreaker-WeeklyCyberDigest

約3億2,500万ドル相当のイーサリアムをハッカーが窃取、Wormhole Portalの脆弱性を悪用

山口 Tacos

2022.02.04

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

約3億2,500万ドル相当のイーサリアムをハッカーが窃取、Wormhole Portalの脆弱性を悪用

米FBI、イラン企業Emennet Pasargadによる有害な活動について注意喚起

LockBit 2.0ランサムウェアのオペレーターがフランス司法省からデータを盗んだと主張

2022年2月3日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

台湾

台達電子（Delta Electronics）

同社は2022年1月18日、サイバー攻撃の標的となった。台達電子は、このインシデントで影響を受けたのは重要性の低いシステムのみであり、同社の業務に大きな影響はなかったと主張した。Contiランサムウェアのオペレーターは、サーバー1,500台とコンピューター1万2,000台を暗号化したと主張している。

フランス

司法省

LockBit 2.0のオペレーターが同省からファイルを盗んだと主張しており、盗んだデータは2022年2月10日に公開される予定だと自らのリークサイト上で警告した。

米国

Medical Healthcare Solutions

2022年1月25日、Contiランサムウェアのオペレーターが、同社から抜き取られたとされるファイルの95%を流出させた。このランサムウェア攻撃は、2021年11月19日に初めて発見された。流出した可能性のある情報は、氏名、住所、生年月日、社会保障番号、金融口座番号、クレジットカード情報、医療記録番号など。

英国

Onfido

Onfidoが所有するAPIトークンがフロントエンドでアクセス可能になっていた。クライアントから提出されたID、パスポート、運転免許証のコピーなどを含む、アプリユーザー数百万人の生体データが公開された可能性がある。フロントエンドの管理者トークンが利用されているアプリは、フィンテック企業のKrooなど、少なくとも7つが確認された。FxPro Direct App、Europcar、貯蓄関連アプリ「Chip」、First Bank Romaniaなど、多くの大企業も影響を受けている模様。

米国

NHS Management

NHS Managementは2021年5月16日、同社のネットワークに対するサイバー攻撃を発見した。どのデータが漏洩したかは依然として不明。

米国

ミッドランド大学

2021年1月18日、同校のネットワークがランサムウェア攻撃の標的となった。漏洩した可能性のあるデータには、氏名、住所、社会保障番号、運転免許証または州の身分証明書番号、金融口座情報が含まれる。（13,716）

スウェーデン

Securitas

Amazon S3の公開バケットにより、ファイル150万件が公開状態になった。ファイルには、IDカードの写真、名前、従業員の写真、国民ID番号など、従業員の個人データが含まれている。また、コロンビアとペルーの少なくとも4つの空港の慎重に扱うべき企業データも公開状態になったほか、他のファイルも公開状態となり、さらに多くの空港の情報が漏洩した可能性がある。

英国

British Council

Microsoft Azureの公開Blobリポジトリに、学生の個人情報やログイン情報を含む144,000件超のファイルが含まれていた。公開状態になったデータには、氏名、Eメールアドレス、学生ID、学生の在学状況などが含まれる。

米国

Whisper App

この秘密共有アプリのユーザー情報やメッセージを含む、パスワードで保護されていないElasticsearchデータベースが2件発見された。公開状態になったデータには、ユーザー名やニックネーム、秘密鍵やトークン、地理的位置情報、年齢、メッセージの内容などが含まれている。

米国

ロードアイランド公共交通局（RIPTA）

同組織は、2021年12月21日に開示されたデータ漏洩で影響を受けた個人のうち、5,000人がRIPTAの職員だったことを認めた。残りの何人かは、州の別の部局の職員だった。漏洩したデータには、社会保障番号やメディケアのID番号が含まれる。（22,000）

米国

Luttrell Staffing Group

2021年6月10日から6月23日の間に、権限のないアクターが特定のシステムにアクセスした。現在および過去の従業員や登録者に関するファイルがアクセスを受けた可能性がある。漏洩した可能性のある情報は、氏名、生年月日、社会保障番号、政府ID番号、金融口座情報など。（42,866）

英国

KP Snacks

同社は、2022年1月28日にContiランサムウェアの攻撃を受けたことを認めた。BleepingComputerの報道によると、Contiのプライベートリークページで、クレジットカード明細、出生証明書、従業員の住所や電話番号が記載されたスプレッドシートなどのサンプルが共有されていたとのこと。（22,000）

米国

Morley Companies

2021年8月、同社のデジタル環境から、現在および過去の従業員や顧客のデータが奪われた可能性がある。漏洩した可能性のあるデータは、氏名、住所、社会保障番号、健康保険情報など。（22,000）

米国

ペリシッピ・ステート・コミュニティ・カレッジ

2021年12月のランサムウェア攻撃により、データ漏洩が発生した。攻撃者は、元学生および現学生、教職員、および「Tennessee Consortium for International Studies」プログラム参加者に関するデータにアクセスした可能性がある。漏洩した可能性のある情報には、氏名、メールアドレス、学内ID番号、Pellissippi Stateのパスワードが含まれている。（206,000）

米国

Civicom

設定ミスのあるAmazon S3の公開バケットにより、同社の顧客の動画・音声ファイル10万件超が公開状態になった。このデータは、会議の動画、切り取られたハイライト、音声記録、音声のトランスクリプト（文字起こし）を含む、4つの別々のデータファイルで構成されている。会話の内容は、会社の秘密データ、企業秘密、知的財産を明かすものである可能性が高い。また、多数の顧客企業の従業員の氏名と画像も公開状態になった。（22,000）

暗号資産に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

重要インフラ：米FBI、イラン企業Emennet Pasargadによる有害な活動について注意喚起

米連邦捜査局（FBI）は、イランのサイバー関連企業Emennet Pasargadが行う有害な活動について組織に注意喚起する民間企業向け通知を発表した。Emennet Pasargadは、米国、ヨーロッパ、中東のニュース、旅行、石油・石油化学、電気通信、金融分野を標的とした「従来型のサイバー攻撃活動」を行っているとされている。米財務省は2021年11月、2020年の米大統領選に影響を与えることを目的としたキャンペーンに関与したとして、同社とイラン人6人に制裁を突きつけた。

政府

セルビアとスルプスカ共和国の防衛、政府、研究機関をフィッシングで狙う新たな持続的脅威アクター「White Tur」を、PwCの研究者が発見した。この脅威アクターの活動期間は、遅くとも2017年から2021年まで。観測されたキャンペーンにおいて、White Turはセルビア国防省を模して偽装した「qov」ドメインを使用して、認証情報の収集とページ訪問の記録を行った。また研究者は、認証情報とキーログの取得に使用される、オープンソースのC#スティーラー「Storm Kitty」を特定した。

テクノロジー

米国の防衛関連グローバル企業のロッキード・マーティンになりすます、北朝鮮の脅威アクター「Lazarus」によるスピアフィッシングキャンペーンをMalwarebytesの研究者が発見した。攻撃者らは、求人情報で標的をおびき寄せ、マクロが埋め込まれたWord文書2つを標的に配信する。文書は2020年4月24日に編集されたものだが、複数のインジケーターから、2021年12月下旬から2022年初頭のキャンペーンで使用されているものだとわかる。

暗号資産：約3億2,500万ドル相当のイーサリアムをハッカーが窃取、Wormhole Portalの脆弱性を悪用

ハッカーらがWormhole Portalの脆弱性を悪用して、約3億2,500万ドル相当のイーサリアムを盗み出した。この攻撃が可能となったのは、Wormholeが「保護者」アカウントの検証を怠ったため。これにより、攻撃者はSolanaブロックチェーン上の12,000のイーサリアム・ラップドトークンをミントし、窃取することが可能となった。

銀行・金融

ユーザーデータを盗み、ホームバンキングポータルにアクセスしようとするソーシャルエンジニアリング・キャンペーンを、Segurança Informaticaの研究者が発見した。銀行を装うスミッシングやスピアフィッシングのメールが使用されている。また、すべての操作はC2サーバーを通じてリアルタイムで制御されている。これまで、このキャンペーンの標的となってきたのはポルトガル、スペイン、ブラジル、メキシコ、チリ、英国、フランスのユーザー。同キャンペーンは遅くとも2019年から、ブラジルの犯罪者によって実行されている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。