ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
ロシア連邦保安庁のエージェントとされる個人のリストをウクライナが公表
HSMX Gatewayに脆弱性、悪用すれば40か国629のホテルの情報を入手することが可能に
2022年3月31日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
Memorial Hospital of Carbon County
2022年3月20日、ローリンズにあるこの病院の一部システムがランサムウェア攻撃を受けた。同病院の2つの電子カルテシステムは侵入を受けなかったとされている。この攻撃がどのように発生したのかや、何者が背後にいるのかは依然として不明。
英国
国防省
英国陸軍のオンライン申請・サポートサービスは、ハッカーが申請者のデータを侵害したことを受けて停止された。同軍は2022年3月14日に侵害について通知を受け、ハッカーがダークウェブで陸軍への志願データを公開する見込みだと知らされた。(~150)
米国
Taylor Regional Hospital
権限のない個人が、同病院のコンピューターネットワークに2021年11月2日から2022年1月19日の間にアクセスし、患者ファイルにアクセスした。漏洩した可能性のある情報は、氏名、住所、生年月日、社会保障番号など。
南アフリカ
シリル・ラマポーザ大統領
「N4ughtySecTU」が、同大統領とその妻、そしてジュリアス・マレマ氏のID番号をTelegramの公開チャットグループ内に投稿した。また、同グループは「MyBroadband」とのチャット内で、TransUnionのCEOであるLee Naik氏の個人情報(銀行口座番号や車両登録情報と思われるもの)も投稿した。
米国
Val Verde Regional Medical Center
LockBitアクターグループは、ハッキング実行中に96,000件の患者記録を抜き取ったと主張している。2022年3月25日、同グループは患者データ約400MB分をダンプした。漏洩した可能性のある情報は、患者のID、アカウント番号、名前、住所、性別など。
ロシア
Yandex
2022年3月22日、オンラインマップ上で顧客の名前、電話番号、住所が閲覧できるようになった。同社は2022年3月1日に流出を公表していた。(58,000)
インド
Punjab State Power Corporation
同社Webサイトの脆弱性により、氏名、電話番号、住所、メールアドレスなど、すべての顧客情報および請求情報へのアクセスが可能な状態になっていた。このWebサイトには、秘密データへのアクセスにつながる有害コードがバックエンドで使用されるのを阻止する適切な仕組みが備えられていなかった。
ロシア
ロシア中央銀行
アノニマスのアフィリエイトが、ハッキング実行中に抜き取ったデータ28GB分を流出させた。現時点での分析によると、流出したデータには数年分の財務記録が含まれており、中には1999年の文書もある。その他の漏洩した情報には、インボイス、社内のやり取り、銀行取引明細書、著名な顧客の住所などが含まれる。
ロシア
全ロシア国営テレビ・ラジオ会社
アノニマス関連グループNB65は、同社のWebサイトを侵害した後に740GB分のユニークファイルを抜き取ったと主張している。同グループはさらに、データを流出させると脅迫し、盗まれたとされるデータの少量のサンプルとともにリンクを提供した。
米国
North Orange County Community College District
2021年12月7日から2022年1月10日の間に、Cypress CollegeとFullerton Collegeの両校のネットワークへ権限のない個人がアクセスした。どのような種類のデータが巻き込まれたかは依然として不明。(19,678)
モルディブ
State Electric Company Limited
2022年3月24日、同社のITネットワークがランサムウェア攻撃を受けた。この攻撃により、複数のオンラインサービスが中断され、同社の携帯電話アプリケーション、モバイルアウトレット、カウンターサービスが使用できなくなった。
フランス
Castelluccio Hospital
この病院は、「ランサムウェアタイプのサイバー攻撃」を受けており、2022年3月28日からすべての情報システムが停止している。同病院のコンピューターからは、脅威アクターVice Societyが運用するマルウェアが検出された。
40か国
複数のホテルブランド
セキュリティ研究者のEtizaz Mohsin氏は、Airangel社のHSMX Gatewayに脆弱性を発見した。この脆弱性により、同氏は40か国にある629の主要ホテルのネットワーク構成と宿泊客数百万人の個人情報を入手することができた。公開状態になっているデータには、ケンピンスキー、ミレニアム、シェラトン、セントレジスなど、中東・北アフリカの主要ホテルチェーンの客室番号、Eメール、チェックイン・チェックアウト日が含まれる。
米国
Griggsville Perry School District
Vice Societyは、2022年1月のランサムウェア攻撃の際に抜き取られたとされる3,000件超のファイルをダンプした。一部のファイルにはW-9フォームや契約情報が含まれていた一方、支払い関連ファイル300件には、2012年から2015年までの職員名と支払い情報が含まれていた。
米国
Christie Clinic
2021年7月14日から8月19日の間に、従業員のメールアカウントへの不正アクセスが発生した。漏洩した可能性のあるデータには、氏名、住所、社会保障番号、医療情報、健康保険情報が含まれる可能性がある。
米国
CSI Laboratories
2022年2月25日、権限のないユーザーが同研究施設のシステムから特定のファイルを入手した。漏洩した可能性のある患者情報には、氏名、生年月日、住所、カルテ番号、健康保険情報が含まれる。
香港
Registration and Electoral Office
1人の職員が有権者の個人情報をあるメールアドレス宛に送信した。このアドレスは意図的に選ばれたものではない。ファイルには、有権者の中国語名および英語名のほか、住所、身分証明書番号、生年月日、性別が含まれている。(15,000)
米国
Illuminate Education
2022年1月に発生したIlluminate Educationに対するハッキングで、ニューヨーク市の公立学校の在校生と卒業生の個人データが侵害された。漏洩した可能性のある情報には、氏名、生年月日、エスニシティのほか、英語力、特別支援教育ステータス、フリーランチステータスが含まれる。データは2016〜2017年度以降のもの。(820,000)
米国
Oklahoma City Indian Clinic
この非営利団体は、Suncryptランサムウェアの攻撃を受けた。同脅威アクターは、電子カルテデータベースや財務文書など、ファイル350GB分を入手したと主張し、専用のリークサイトにこのクリニックを追加した。
米国
Spokane Regional Health District
2022年2月24日、フィッシングメールを介した不正アクセスが発生した。漏洩した可能性のある情報は、氏名、生年月日、電話番号、分類された医療情報など。(1,260)
米国
Cancer and Hematology Centers of West Michigan
2021年12月下旬、ランサムウェア攻撃発生中に、権限のないアクターが患者の健康記録の名前や特定のコンポーネントにアクセスした可能性があり、従業員の社会保障番号と銀行情報もアクセスを受けた可能性がある。(43,071)
ロシア
Rostproekt
2022年3月27日、アノニマスグループは、同社のメールをハッキングしたことを公表した。メールのサイズは2.4GBで、同グループの新たなWebサイトでダウンロードできるようになった。
米国
CareOregon Advantage
2022年1月27日、契約先のコンサルタントが、保護対象保健情報を含むEメールの添付ファイルを受け取った。これには、氏名、メディケアおよびメディケイドのID番号、生年月日が含まれている。(10,467)
米国
PartnerShip HealthPlan
Hiveランサムウェアのオペレーターは、個人を識別できる情報のレコード85万件を盗んだと主張している。同グループによると、漏洩した情報には、氏名、社会保障番号、住所が含まれるとのこと。また、Hiveは、盗まれたデータには、PartnerShip HealthPlanのサーバーから抜き取られたファイル400GB分が含まれているとも主張した。(10,467)
ロシア
MashOil
アノニマスは、140,000件超のEメールを含む110GB相当のデータを盗んだと主張している。これらのEメールは、Webサイト「Distributed Denial of Secrets」上でトレントファイルでダウンロード可能。
ロシア
ウクライナ国防省情報総局は、ロシア連邦保安庁のエージェントとして働いているとされる個人の名前を記載したリストを公表した。このリストには、これらの個人の現住所、前住所、携帯電話番号、車のナンバープレートも含まれるほか、場合によっては借金額も記載されている。(662)
米国
Shutterfly
同社は、2021年12月13日に発生したContiランサムウェアの攻撃の後、データ流出が発生したことを認めた。この攻撃で盗まれた文書には、氏名、給与・報酬情報、FMLA休暇や労災請求に関する情報など、従業員の個人情報が含まれていた可能性がある。Contiは攻撃の後、盗まれたデータ7.02GB分を公開したと報告されている。(662)
日本
森永製菓
2022年3月13日、不正アクセスが複数のサーバーで発見された。このインシデントにより、2018年5月1日から2022年3月13日の間に製品を購入した顧客の個人情報が流出した可能性がある。流出した可能性のある情報に含まれるのは、氏名、住所、電話番号、生年月日、購入履歴と、場合によってはメールアドレス。(~1,600,000)
英国
TBK Bank
2021年12月6日、同銀行は、従業員メールアカウント情報への不正アクセスにつながった可能性がある不正な活動を、内部ネットワークで検知した。漏洩した可能性のある情報は、社会保障番号、運転免許証または州発行の身分証明書の番号、パスポート番号、メールおよび添付ファイルなど。(59,189)
米国
Law Enforcement Health Benefits Inc
この保険代理店は、2021年9月14日に検知されたランサムウェア攻撃による被害を明らかにした。プラン加入者の保護対象保健情報を含むファイルがネットワークから抜き取られた。これには、氏名、生年月日、社会保障番号、運転免許証番号、診療記録番号などが含まれる。(85,282)
テクノロジーに関連して言及された脅威アクター
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、テクノロジー関連の脅威アクターを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
PayPalアカウントを標的とした最近のフィッシングメールを、Trustwaveの研究者が分析した。2022年1月と2月に多数のサンプルが観測された。このメールはPayPalに似た偽装ドメインから送信され、ユーザーに不正な動きについて警告し、フィッシングサイトにつながるリンクからログインするよう求める。このサイトは、最終的なフィッシングページに進む前にCaptchaを使用する。また、このフィッシングページは侵害されたブログサイトだった。フィッシングサイトのログインページのソースコードには、作者の名前が「morpheous」であることを示すコードが含まれていた。
暗号資産
2021年5月以降、AndroidとiOS向けのトロイの木馬化した暗号資産ウォレットアプリが、正規サービスを模倣したWebサイト経由で複数配布されていることを、ESETの研究者が発見した。これらのアプリは、Coinbase、imToken、MetaMaskなどを装っており、被害者のシードフレーズを盗んで資金を盗むことが可能。別のスキームでは、Jaxx Libertyウォレットになりすました13の有害アプリがGoogle Play Storeで発見された。このスキームは現在、中国のユーザーを狙うことに集中しており、単一の個人か犯罪グループによって実行されていると考えられている。
重要インフラ
ウクライナ政府は、2022年3月15日から3月22日の間に同国のインフラに対してサイバー攻撃を行った脅威アクターの情報を公開した。この中には、GammaLoad、GammaDrop、HarvesterXを展開したUAC-0010や、AgentTeslaとXLoaderを展開したUAC-0411が含まれる。UAC-0086はQuasarRATを、UAC-0033はJobDropとStepDrumを展開したことが確認されている。この中には、ロシア、ベラルーシ、自称「ルハンスク人民共和国」の政府や保安機関に所属していると考えられているグループもある。また、ウクライナからの難民を支援する欧州連合の組織を標的とするグループもある。
政府
パキスタン関連アクターと見られるTransparent Tribeによる、遅くとも2021年6月から続くキャンペーンを、Cisco Talosの研究者が観測した。この活動は、CrimsonRATと、新しいカスタムのステージャーとローダーを使用して、インドの政府組織と軍事関連組織を狙う。また、このキャンペーンでは、本物の政府機関や関連組織を装う偽ドメインや、新しい初期侵入メカニズムが使用される。これには、多要素認証アプリケーション「Kavach」を装った実行可能なダウンローダーが含まれる。
教育
個人情報を集め、金銭を盗み、マネーロンダリングなどの違法行為への関与を被害者に無理強いしようとする、大学生を標的とした進行中の雇用詐欺キャンペーンを、Proofpointの研究者が観察した。脅威アクターは、在宅勤務で簡単にお金が稼げるという約束を誘い文句にしている。2022年1月のキャンペーンでは、脅威アクターは大学生を募集するメールでユニセフを装っていた。最近の別のキャンペーンでは、ZafulとFashion Novaになりすましてモデルを勧誘していた。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-25-31-march-2022/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/