Threat Report

Silobreaker-WeeklyCyberDigest

通信衛星KA-SATに対するサイバー攻撃はロシアによるもの

山口 Tacos

2022.05.13

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

Viasatの通信衛星KA-SATに対するサイバー攻撃はロシアによるもの、米英EUが公式に断定

F5 BIG-IPの欠陥、サーバーを使用不能にしようとする破壊力の強い攻撃で悪用される（CVE-2022-1388）

Herokuのデータベースに攻撃者がアクセス、ソースコード含むレポジトリの一部をダウンロード

2022年5月12日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

インド

ENCollect

同社が使用する保護されていないElasticSearchインスタンスで、レコード1,686,363件、合計5.8GB分が公開状態となった。漏洩した可能性のあるデータは、氏名、融資額、生年月日、口座番号など。また、計48,043件（実数）のメールアドレスと計114,747件の郵送先住所も含まれていた。

米国

Heroku

2022年4月7日、攻撃者がHerokuのデータベースにアクセスし、保存されていたOAuthトークンをダウンロードした。2022年4月9日には、攻撃者はHerokuソースコードを複数含む、HerokuのプライベートGitHubレポジトリの一部をダウンロードした。同じ漏洩トークンは、データベースにアクセスするため、および、顧客のユーザーアカウントのハッシュ化・ソルト化済みパスワードを抜き取るために使われた。

米国

WellDyneRx LLC

同社は2021年10月30日から11月11日の間に発生した、メールアカウントへの不正アクセスを発見した。漏洩した可能性のあるデータは、氏名、生年月日、社会保障番号、健康保険情報など。

米国

North Alabama Bone & Joint Clinic

このクリニックは、2022年3月9日に複数の従業員メールアカウントが不正アクセスを受けたと判断した。流出した可能性のあるデータは、氏名、連絡先情報、財務情報、生年月日、健康保険情報など。

米国

AGCO

同社は2022年5月6日、ランサムウェア攻撃を受けて一部の生産設備が影響を受けたことを明らかにした。AGCOは、事業運営が数日またはそれ以上の期間、悪影響を受けると予想している。

米国

Belton Police Department

この警察当局は、特定のネットワークシステムを標的としたマルウェア攻撃を受けた。個人データへの被害の有無を判断するための調査が進められているが、影響を受けたデータはすべて公開済みのものと考えられている。

カナダ

IKEA Canada

2022年3月1日から3月3日にかけて、従業員がカナダの顧客に関する社内データベースを不正に検索した。この結果、顧客の個人情報の一部が被害を受けた。これには、氏名、Eメールアドレス、電話番号、郵便番号が含まれるほか、特典プログラムIKEA Familyの会員番号も含まれる可能性がある。（~ 95,000）

ロシア

LLC Capital

この会計事務所から盗まれたとされる、Eメール31,990通を含む20.4GBのアーカイブを、ハッキング集団「アノニマス」がリークした。同事務所は、Mokhail Gutseriev氏のSAFMAR Groupやその子会社（JPSC RussNeftを含む）と取引している。

米国

DeKalb County School District

この学区は、職員や学生の秘密情報を含むファイル数千件を、学区内の誰もが広くアクセスできるようにした。流出した情報は、社会保障番号、学業成績、メディカルフォーム、成績証明書、標準化されたテストのスコアなど。

米国

Omnicell

同社は、2022年5月4日に発覚したランサムウェア攻撃において自社のサービス、製品、社内システムの一部が影響を受けたことを確認した。

米国

ORESTAR

米国オレゴン州の選挙当局（United States Oregon Elections Division）は2022年5月9日、選挙運動資金管理会社C&E Systemsが利用するWebホスティングプロバイダーOpus Interactiveがランサムウェア攻撃を受けたことを知った。C&Eのデータベースが侵害され、そこにはC&Eの顧客のORESTARアカウントへのログイン認証情報も含まれていた。（1,100）

米国

Optima Dermatology

2021年8月30日から9月3日にかけて、従業員のメールアカウントへの不正アクセスが発生した。漏洩した可能性のあるデータは、氏名、生年月日、診療内容、健康保険の請求内容など。（59,972）

米国

Eye Care Leaders

EvergreenHealthとSummit Eye Associatesは、Eye Care Leadersに対する2021年12月のランサムウェア攻撃による影響を受けた。漏洩した可能性のある情報は、氏名、生年月日、社会保障番号、カルテ番号、健康保険情報など。（74,351）

米国

AA Traveller

2021年8月、脆弱なデータベース内に保存された情報に権限のない者がアクセスした。顧客の個人を特定できる情報を抜き取った可能性がある。漏洩した可能性のある情報には、名前、住所、連絡先情報、有効期限切れのクレジットカード番号が含まれる。

米国

Oklahoma City Indian Clinic

同クリニックは、現在発生中のネットワーク障害が、2022年3月10日に発生したランサムウェア攻撃の結果として生じたものであることを認めた。漏洩した可能性のあるデータは、名前、生年月日、治療内容、処方箋情報、社会保障番号など。

英国

Central Bedfordshire Council

同カウンシルは、特別な教育が必要な人の個人データを誤って公開したことを明らかにした。この漏洩は、学校教育に関する情報の公開請求への返答が2022年5月9日に公開された後に発生した。その後、情報はWebサイトから削除された。（100）

カナダ

Top Aces

この戦闘機供給会社はLockBitランサムウェアのリークサイトに追加された。同グループは、盗まれたとされるデータ44GB分を2022年5月15日に流出させると脅迫している。

南アフリカ

Dis-Chem

2022年4月28日、個人情報を含むサードパーティーのデータベースに権限を持たない者がアクセスした。漏洩した情報には、姓名、メールアドレス、携帯電話番号が含まれる。（3,687,881）

複数企業

2022年5月7日、2,100万人の個人情報とログイン認証情報を含むデータベースがTelegramグループ内でリークされた。ダンプに含まれていたのは、SuperVPN、GeckoVPN、ChatVPNなど、複数のVPNユーザーのデータ。漏洩したデータに含まれるのは、フルネーム、ユーザー名、郡名、請求先情報、メールアドレス、ランダムに生成されたパスワード文字列、およびプレミアムステータスと有効期間。（21,000,000）

ヘルスケアに関連して言及されたランサムウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連のランサムウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

コスタリカの複数の政府機関に対するContiランサムウェアの攻撃が相次いだことを受け、2022年5月8日、ロドリゴ・チャベス大統領は国家非常事態を宣言した。同日、BleepingComputerは、Contiのリークサイトが更新され、同国政府機関から盗まれたとされるデータ672GB分のうち97%を流出させたとの記載が追加されたことを確認した。Contiのリークサイトによると、影響を受けた政府機関は、財務省、労働・社会保障省、社会開発家族給付基金、Interuniversity Headquarters of Alajuelaなど。

重要インフラ：通信衛星KA-SATに対するサイバー攻撃はロシアによるもの、米英EUが公式に断定

2022年5月10日、英国、米国、欧州連合は、2022年2月24日に発生したViasat社の通信衛星KA-SATに対するサイバー攻撃はロシアによるものだったと公式に断定した。また、2022年1月13日のウクライナ政府Webサイトの改ざんにはほぼ確実にロシア軍の諜報機関が関与していただろうと、英国の国家サイバーセキュリティセンターは評価した。さらに米国と英国は、ロシア軍のサイバーオペレーターがウクライナに対し、WhisperGateマルウェアやその他の破壊的なマルウェアを展開したと評価した。

ヘルスケア

有力なアンチ解析およびアンチリバース機能を利用した新たなマルウェア亜種「Nerbian RAT」を、Proofpointの研究者が特定した。同マルウェアは、新型コロナや世界保健機関の話題を利用したフィッシングメールを通じて拡散される。このキャンペーンは2022年4月26日に初めて確認され、イタリア、スペイン、および英国の組織を標的としている。

テクノロジー：F5 BIG-IPの欠陥、サーバーを使用不能にしようとする破壊力の強い攻撃で悪用される（CVE-2022-1388）

最近公表されたF5 BIG-IPデバイスのリモートコード実行の脆弱性が、デバイスのファイルシステムを消去してサーバーを使用不能にしようとする破壊力の強い攻撃で利用されている。その他の攻撃の大半は、ネットワークへの初期アクセスのためのWebシェルの展開、SSHキーの窃取、システム情報の列挙を目的としている。この重大な欠陥（CVE-2022-1388）に関しては、2022年5月4日にパッチがリリースされ、その直後に複数のエクスプロイトが研究者によって公開された。

銀行・金融

遅くとも2020年12月から運営されていると考えられる新たなクレジットカード窃取サービス「Caramel」が、ますますその人気を高めている。このサービスはDomain Toolsによって発見されており、同社によると、このプラットフォームはロシアのサイバー犯罪グループ「CaramelCorp」によって運営されているとのこと。同サービスでは、スキマー・スクリプト、展開手順書、キャンペーン管理パネルが加入者に提供される。これにより、独自のクレジットカード窃取キャンペーンを開始するために必要なものすべてが、脅威アクターに提供される。販売者の主張によれば、CaramelはCloudflare、Akamai、Incapsulaなどの保護サービスを回避できるとのこと。また、検知の回避に役立つさまざまな難読化技術も加入者に提供されている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。