ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
マルウェアMiraiの武器化・実行のために脆弱性Spring4Shellが悪用される
フィンランド国防省・外務省のWebサイトがDDoS攻撃受けオフラインに
2022年4月14日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
First Choice Community Healthcare
Hiveランサムウェアが2022年3月28日の攻撃の犯行声明を出した。患者関連情報、財務情報、人事関連ファイルを含むアーカイブファイルを証拠として提供した。
米国
McKenzie Health System
Avos Lockerが2022年4月7日、同病院を自らのリークサイトに追加した。同脅威アクターは主張の証拠をいくつか提供したが、その中には健康保険情報を含むファイル1件が含まれていた。
米国
North Carolina AT&T University
2022年3月7日から3月11日にかけて発生したサイバーセキュリティ侵害により、複数のシステムが影響を受けた。同大学は、公表前にALPHVランサムウェアのダークネットサイトに掲載された。
ナイジェリア
Bet9ja
BlackCatランサムウェアが、同サイトを狙った巧妙な攻撃を行った。同サイトは、すでに攻撃者が身代金を要求してきたと主張しているものの、その条件には決して応じないと断言している。
米国
Weatherford ISD
2022年3月31日に公開された情報漏洩で、住所や社会保障番号が漏洩した可能性がある。(1,254)
米国
Tuloso-Midway ISD
2022年3月3日に報告されたデータ流出により氏名、社会保障番号、財務情報が影響を受けると報告されている。(637)
米国
FOXニュース
パスワードで保護されていない公開状態のデータベースから、レコード12,976,279件、合計58GBのデータが流出した。漏洩した可能性のある情報は、FOXの社内メール、ユーザー名、従業員ID番号、ホスト名、IPアドレスなど。
米国
SuperCare Health
同社のシステム上で2022年7月23日から7月27日の間に不正な活動があった。漏洩した可能性のある情報は、氏名、住所、生年月日、患者のアカウント番号、健康保険情報、治療情報など。(318,379)
アイルランド
Northern Ireland Trust Ford
この自動車ディーラーは、同社の社内システムに影響を与えた最近の攻撃で、Contiランサムウェアのオペレーターの標的となったと考えられている。現在、Information Commissioner’s Office (英国のデータ保護機関)がこの攻撃について調査している。
米国
Wellstar Health System
2021年12月6日から2022年1月3日の間に、権限のない個人が2つのメールアカウントにアクセスした。流出した可能性のある患者情報には、氏名、カルテ番号、固有のアカウント番号、検査情報が含まれる。
米国
Snap-On
2022年3月、同社のIT環境の一部で異常な活動が検知された。流出した可能性のある情報には、氏名、社会保障番号、生年月日、従業員ID番号が含まれる。Contiランサムウェアのオペレーターが、盗まれたとされるファイル約1GB分を3月中旬にリークし始めた後、この攻撃の犯行声明を出した。
不明
個人情報を第三者に送信するソフトウェア開発キットを含んだ11のアプリを、AppCensusの研究者がGoogle Playストア上で発見した。携帯電話に付与される一意の識別番号であるIMEI、クリップボードデータ、GPS情報、Eメール、電話番号などのデータが、パナマに拠点を置くMeasurements Systemsのサーバーに送信されていた。アプリの中には、1,000万回以上ダウンロードされたものもある。後にGoogleは、これらの有害アプリをGoogle Playストアから削除した。
米国
Whitefish School District
ある職員がソーシャルエンジニアリング攻撃の被害に遭い、攻撃者が個人情報を含むシステムにアクセスした。漏洩した可能性のある情報には、氏名、住所、社会保障番号が含まれる。(1,663)
米国
Black River Falls School District
2022年4月7日、同学区のITネットワークへの不正アクセスに関連したインシデントが発生し、翌日の全授業が中止となった。ウィスコンシン州の同学区は、出席状況、投薬記録、家族の連絡先情報、裁判所の命令にアクセスできなくなった。調査のため、ネットワーク機器もすべて使用不能になった。
米国
Ballad Health
2022年1月13日頃の限られた時間内に、権限のないユーザーが従業員のメールアカウントにアクセスした。漏洩した可能性のある患者情報は、氏名、住所、生年月日、病歴、カルテ番号など。
米国
SummaCare
健康保険を提供する同社は、コンピューターシステムの設定ミスにより、2021年11月19日から2022年2月7日の間に、特定の文書がインターネット経由でアクセスできる状態になっていたことを発見した。漏洩した可能性のある情報は、氏名、健康保険ID番号、患者アカウント番号など。(1,000)
米国
EMC National Life Company
2021年12月28日から12月30日にかけて、同社のネットワークから個人情報が取得されるセキュリティインシデントが発生した。流出した可能性のある情報は、氏名、生年月日、社会保障番号、金融口座およびペイメントカード情報、医療情報など。
米国
Bernards Township School District
2021年4月6日に発生した不正アクセスにより、個人情報が流出した可能性がある。このインシデントで、特定のファイルやフォルダーが削除された。流出した可能性のある情報は、氏名、生年月日、社会保障番号、運転免許証など。
カナダ
Panasonic Canada
パナソニックのカナダ子会社が、2022年2月にContiランサムウェアの攻撃を受けた。攻撃者は、人事部門と経理部門が保有する内部ファイル、スプレッドシート、ドキュメントなど、2.8GB以上のデータを盗んだとされている。
米国
Florida International University
AlphaVランサムウェアのオペレーターが同大学をリークサイトに追加し、データ1.2TB分を抜き取ったと主張した。これには、秘密データ、社会保障番号、連絡先情報など、学生や教員の個人情報が含まれているとされている。
イタリア
エルメネジルド・ゼニア
2022年4月11日、同社は2021年8月に発生した大規模なITシステムの停止がランサムウェア攻撃によるものだったことを認めた。RansomEXXが2021年8月、この攻撃の犯行声明を出し、盗まれたとされるデータ10.74GB分をパスワードで保護されたZIPファイルの形で自らリークサイトに追加していた。ゼニアはデータが本物であることを認めた。
米国
Christie Clinic
2021年7月14日から8月19日にかけて、権限のないアクターが業務用メールアカウントにアクセスした。その後、影響を受けた患者の数が確認された。(502,869)
インド
マドゥライのミナクシ寺院
2022年4月10日、毎年恒例のChithirai祭への参加を登録した個人のデータが、同寺院のWebサイト上で登録を行った人々に送られたメールを通じて流出した。流出したデータには、氏名、連絡先、住所、身分証明書が含まれる。(9,000)
英国
CitySprint
悪意あるサードパーティーが同社の宅配便管理プラットフォームのデータへのアクセスを試み、宅配便業者の慎重に扱うべき個人情報が漏洩した可能性がある。漏洩した可能性がある個人情報には、運転免許証の写真、車両の写真、週ごとの収入の記録が含まれる。
ヘルスケアに関連して言及されたランサムウェア
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連のランサムウェアを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
ExobotCompact.Dと名付けられた新たなAndroid向けトロイの木馬型マルウェアを、ThreatFabricの研究者が発見した。同マルウェアは2021年11月に登場した。研究者は、AndroidボットネットのOctoがExobotCompactに名称変更されていたことと、Octoの背後には5の異なるアクターがいると考えられることを明らかにした。ExobotCompact.Dの最新の活動には、Google Playストアで複数の有害アプリを配布するというものがある。これらのアプリは5万回以上インストールされており、多くの標的を狙う包括的なキャンペーンと、ヨーロッパ全域の狭い範囲のキャンペーンの両方において、世界中の金融機関を標的としている。また、一部のキャンペーンでは、GymDrop、Alien.A、Xenomorph.Aなど、他のマルウェアも配布されていた。
テクノロジー:マルウェアMiraiの武器化・実行のために脆弱性Spring4Shellが悪用される
Spring Frameworkの脆弱性Spring4Shellが、ボットネットマルウェアMiraiを武器化し、実行するために盛んに悪用されていることを、トレンドマイクロの研究者が確認した。この動きは主にシンガポールで発生し、2022年4月上旬に初めて観測された。この欠陥を悪用することで、脅威アクターはMiraiのサンプルを特定のフォルダーにダウンロードし、パーミッションを変更した後にマルウェアを実行することができるようになる。
暗号資産
一見別個のものに見える多くの暗号資産関連詐欺が、すべて同じホスティングプロバイダーであるCryptohostを通じてつながっていることについて、KrebsOnSecurityが詳しく説明した。このつながりが確認されたのは、イーロン・マスク氏、キャシー・ウッド氏、ジャック・ドーシー氏が映され、YouTubeのライブ配信のように見せかけられた動画が利用される、進行中の暗号資産関連詐欺を分析した際のことだった。この詐欺では、宣伝されているプラットフォーム(ARK Investを模している)に暗号資産を送ると、その量が2倍になることが送金者に約束される。現在オフラインになっているこのサイトには、新たに作られた何百もの暗号資産関連詐欺のドメイン(Coinbaseを模倣したものを含む)によってかつて使用されていた共通のIPアドレスがあることが判明した。Coinbaseを模した詐欺サイトのDNSレコードは、同サイトがCryptohostでホストされていることを示していた。
政府:フィンランド国防省・外務省のWebサイトがDDoS攻撃受けオフラインに
2022年4月8日、フィンランドの国防省と外務省のWebサイトが、分散型サービス妨害(DDoS)攻撃を受けてオフラインになった。同国政府は同日中に、問題が解決され、両Webサイトが稼働していることを確認した。攻撃者の身元は不明だが、ロシアの脅威アクターに疑いの目が向けられる可能性が高い。
重要インフラ
2022年4月8日、ウクライナのコンピューター緊急対応チームとESETの研究者は、ウクライナの高電圧変電所を狙った高度持続的脅威グループ「Sandworm」によるサイバー攻撃の試みに対処した。攻撃者は、Industroyerマルウェアの新バージョン「Industroyer2」と、ワイパー型マルウェアのORCSHRED、SOLOSHRED、AWFULSHREDを使用した。また、このキャンペーンでは、「ARGUEPATCH」と名付けられた新しいローダーを使用するCaddyWiperの新バージョンも展開された。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-08-14-april-2022/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/