Threat Report

Silobreaker-WeeklyCyberDigest

DeFiプラットフォームにサイバー攻撃、被害額は8千万ドル超

山口 Tacos

2022.05.06

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

DeFiプラットフォームにサイバー攻撃、被害額は8千万ドル超

LAPSUS$の新たな戦術、技術、手順を研究者が観測

アノニマスとNB65が複数のロシア企業を攻撃

2022年5月5日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Elgin County

同郡は、2022年4月1日から4月27日にかけて、WebサイトやEメール通信に影響を与える技術的な障害を経験した。2022年4月25日、Contiランサムウェアは、少なくとも1つの40MBのZIPファイルとともに同郡をリークサイトに追加し、窃取されたとされるデータの10％が公開されたと報告した。その後、掲載物は削除され、個人情報や秘密データが抜き取られたかどうかは不明。

米国

Battelle for Kids

Battelle for Kidsへのランサムウェア攻撃により、Lakota Local Schoolsの旧および現在の生徒が影響を受けた可能性がある。同社に提供された情報には、生徒氏名、州発行の生徒ID、学年レベル、学年、評価結果のほか、生年月日、教員名、クラスが含まれている。

米国

Mattel and Danaher

Stormousランサムウェアは、同社からデータを窃取したと主張しており、これらのデータを流出させると脅迫した。

米国

myNurse

2022年3月7日、権限のない個人がユーザーの保護対象保健データにアクセスした。侵害された可能性のあるデータには、氏名、電話番号、生年月日、医療歴、健康保険情報などがある。

米国

Los Angeles County Department of Mental Health

2021年10月19日から10月21日にかけて、不正アクセスが発生し、複数の職員がフィッシング攻撃の被害に遭った。侵害された可能性のあるデータには、氏名、住所、生年月日、社会保障番号、医療および健康情報、健康保険情報、金融口座番号がある。

米国

Valley View Hospital

フィッシング詐欺により、権限のない第三者が4名の従業員のメールアカウントへのアクセスを獲得した。病院従業員と患者の個人情報が影響を受けたと見られる。侵害された可能性のあるデータには、氏名、生年月日、社会保障番号および運転免許証がある。（~ 21,000）

ブラジル

CPQD iD

ブラジル中央銀行が使用しているブロックチェーンサービスが、LVランサムウェアグループによるハッキングを受けたとされている。同グループは、ブロックチェーンサーバーを含む1.8TBのデータを盗むことに成功したと述べている。CPQDは、個人情報の流出はなく、顧客ソリューションも侵害されていないと表明している。

ロシア

複数のロシア企業

アノニマスは、Elektrocentromontazhのものとされる1.7TBのアーカイブと、ALET OOOの1.1TBのアーカイブを流出させた。Network Battalion 65は、Petersburg Social Commercial Bankから542GBのアーカイブを流出させたほか、決済会社QIWIをハッキングし、1,250万人の顧客のクレジットカード情報を盗んだと主張している。

米国

Kellogg Community College

2022年5月1日、大学関係者は、最近の技術的な問題はランサムウェア攻撃によって引き起こされ、この攻撃がシステムに影響を与え続けていることを明らかにした。キャンパスは引き続き閉鎖され、授業は安全に続けられるようになるまで中止された。

ドイツ

EKZ

2022年4月28日、LockBitランサムウェアは、同社を自身のリークサイトに追加し、窃取されたとされるデータを公開した。同グループは、窃取したデータの100%を公開したと主張している。

米国

Henry Company

同社では、2022年1月22日から29日にかけて発生したランサムウェア攻撃の後、データ流出が発生した。侵害された可能性のあるデータには、社会保障番号、運転免許証番号、身分証明書番号が含まれる。

フィンランド

Nordic Choice Hotels

KämpとF6ホテルは、データ侵害の被害に遭った。これは、2022年2月10日から2月14日にかけて、サプライヤーであるSabreで予約システム上のデータ漏洩が発生した後のことだった。漏洩した可能性のある情報は、氏名、住所、電話番号、メール、予約日など。（15,947）

米国

ウスター郡

同郡は、2020年11月10日から11月20日にかけてフィッシング攻撃の被害者となり、ウスター郡政府（WCG）のメールアドレスが流出した。WGCと教育委員会の職員の個人情報がアカウントに含まれていた。（3,000）

米国

Breastcancer.org

Amazon S3のバケットの設定に誤りがあり、誰もが利用できる状態になっていたため、35万を超えるファイル、合計約150GB分のデータが流出した。このファイルの中には、ユーザーの秘密画像が含まれており、そのうちのいくつかには、ヌードの画像や医療検査の結果も含まれていた。これらの画像の一部には、詳細なEXIFデータが含まれていた。（50,000）

オーストラリア

Transport for New South Wales

権限のない第三者が、Authorised Inspection Schemeのオンラインアプリケーションのユーザーアカウントの一部にアクセスした。同オンラインアプリケーションに保存されている情報には、氏名、住所、電話番号、メールアドレス、生年月日、運転免許証が含まれている。

ペルー

国家情報局

2022年4月27日、ランサムウェア「Conti」が同局のWebサイトをハッキングしたと主張した。同グループは、政府が身代金の支払いを怠った場合、秘密データと称するものを公開すると脅迫している。また、同局のネットワーク上ではデータの暗号化は行われていなかったと付け加えた。

香港

FactWire

2022年4月、同社のWebサイトや社内システム、およびメルマガ配信業務がハッキングされた。このインシデントにより、特定の購読者のメールアドレスと氏名が攻撃者によるアクセスを受けた。（3,700）

インド

National Institute of Mental Health and Neurosciences

2022年3月23日に発生したランサムウェア攻撃により、複数のファイルやシステムがアクセス不能となった。被害の程度はまだ不明だが、複数の情報筋によると、暗号化されたデータには、患者の検査報告書、氏名、病歴が含まれているとのこと。

ナウル共和国

ナウル警察

2022年5月2日、アノニマスは同警察のものとされる28万5,635通のEメールを流出させた。アノニマスによると、流出したEメールには、ナウル警察とオーストラリア政府が隠蔽しようとしたとされる、亡命希望者・難民への虐待に関連する詳細情報が含まれているとのこと。

米国

Pueblo School District 70、 Cheyenne Mountain School District 12

両学区は、Illuminate Educationでの侵害の影響を受け、2021年12月28日から2022年1月8日の間にデータベースへの不正アクセスが発生したことを明らかにした。流出した可能性のある情報は、氏名、生年月日、性別など。

テクノロジーに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、テクノロジー関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

2022年1月中旬、Mandiantの研究者は、外交機関や政府機関を標的としたAPT29のスピアフィッシング攻撃の増加を複数回確認した。おそらくこれらの攻撃は、スパイ目的のインテリジェンス収集を支援するためのもの。このキャンペーンでは、BEATDROPとBOOMMICという2つの新しいマルウェアファミリーが使用されており、その後、同グループはこれらよりシンプルなC/C++言語のBEACONバックドアの使用に移行した。BEATDROPは、コマンド＆コントロールにAtlassianのTrelloサービスを使用しており、Trelloを使用して被害者データを保存し、AESで暗号化されたシェルコードのペイロードを取得し、実行する。BOOMMICは、DLLサイドローディングによって実行され、被害者の環境内にさらなる足場を築くために使用される。

重要インフラ

ShadowPadおよびPlugXの亜種を使用して中央アジアの通信セクターを狙う、Moshen Dragonと呼ばれる中国関連スパイグループを、SentinelLabsの研究者が特定した。このグループは、従来のアンチウイルス製品を、試行とエラーを繰り返しながら悪用し、DLLの検索順序のハイジャックを行う。Symantec、Trend Micro、BitDefender、McAfee、Kasperskyの製品がその標的になっている。Moshen Dragonは、ラテラルムーブメント用のImpacket、認証情報の取得に使用されるLSA通知パッケージ、GUNTERSと呼ばれるパッシブバックドアなど、様々なツールを展開する。

ヘルスケア

英国の国民保健サービス（NHS）を標的とした大規模なフィッシングオペレーションを、Inkyの研究者が確認した。このキャンペーンは、2021年10月に、NHSの正規アカウントを散発的に使用して、疑念を持たない第三者宛にフィッシングメールを送信することから始まったが、2022年3月にエスカレートした。フィッシングメールは、NHS職員139人が所有するメールアカウントから発信された。メールの大半は偽の文書通知で、マイクロソフトの認証情報を狙う認証情報採取サイトへの有害リンクが貼られていた。

テクノロジー：LAPSUS$の新たな戦術、技術、手順を研究者が観測

LAPSUS$による最近の攻撃における新しい戦術、技術、手順を、NCC Groupの研究者が観測した。最近の活動には、オンプレミスのVMware ESXiインフラストラクチャ内の仮想マシン（VM）のシャットダウン、分析を妨げるためのVM、ストレージ、クラウド環境の構成の広範囲な大量削除などがある。データの窃取は、アプリケーションのソースコードや専有技術情報（商業上重要な知的財産や慎重に扱うべきアプリケーションのAPIキーを含むGitリポジトリなど）に集中している模様。このグループは、盗まれた認証クッキーを介して初期アクセスを獲得している可能性が高いが、これらのクッキーはシングルサインオンアプリケーションの形式であることが多い。

暗号資産：DeFiプラットフォームにサイバー攻撃、被害額は8千万ドル超

2022年4月30日、分散型金融（DeFi）プラットフォームRari CapitalとFei Protocolに関連する複数のプールがサイバー攻撃の標的になった。攻撃者はRariのエンディングプロトコル「Fuser」のリエントランシーの欠陥を悪用し、8,000万ドル超相当を盗むことが可能になった。同じ欠陥により、DeFiプロトコル「Compound」のフォークも影響を受けた。これを受けて、Rari CapitalとFei Protocolは一時的にすべての借り入れを停止した。Fei Protocolは攻撃者に対し、残りの資金が返還されれば1,000万ドルの報奨金を支払うと申し出た。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。