Threat Report

Silobreaker-WeeklyCyberDigest

「流動性マイニング」関連の複数の詐欺グループを研究者が特定

山口 Tacos

2022.05.20

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

「流動性マイニング」関連の複数の詐欺グループを、研究者が特定

Sysrvボットネットの新種がSpring FrameworkとWordPressの脆弱性を悪用、脆弱なWindows / Linuxサーバーを標的に

Contiランサムウェアがコスタリカへの脅迫をエスカレート

2022年5月19日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

テキサス州キャメロン郡

2022年1月、権限のない個人がEasy Voteのオンラインストレージシステム内のファイルにアクセスした。このファイルには、氏名、社会保障番号、運転免許証番号など、個人を識別できる情報が含まれていた。

米国

Yik Yak

このアプリは、ユーザーIDのほか、ユーザーのすべての投稿とコメントのGPS座標を公開していた。この2つが組み合わさると、数百万人のユーザーが危険にさらされることになる。これは、そのようなデータはユーザーの匿名性を奪うために使用される可能性があるため。（~ 2,000,000）

米国

Refuah Health Center

2021年5月31日から6月1日の間に、同社のネットワークへの不正アクセスが発生した。漏洩した可能性のあるデータは、氏名、社会保障番号、運転免許証番号、生年月日、銀行および金融口座情報、クレジットカードまたはデビットカード情報など。（260,740）

米国

Quantum Imaging & Therapeutic Associates

2021年10月7日、データセキュリティインシデントが検出された。漏洩した可能性のある患者データには、氏名、郵送先住所、生年月日、社会保障番号、保護対象保健情報が含まれる。

米国

Schneck Medical Center

2021年9月29日、特定の患者に関する保護対象保健情報を含む1つまたは複数のファイルを、権限を持たない者が削除した。漏洩した可能性のある情報は、氏名、住所、生年月日、医療記録番号、健康保険情報、社会保障番号、金融口座情報など。

米国

オハイオ州シンシナティ

2022年4月8日から4月19日の間に、オハイオ州の同市が、現・元市職員の個人情報を誤って公開した。公開された情報には、氏名、住所、保険情報のほか、場合によっては社会保障番号が含まれている。（2,000）

インドネシア

PT Rea Kaltim Plantations

アノニマスグループは、同社のデータベースから盗まれたとされるEメール約314,044通をDDoSecrets上でリークした。

ブラジル

Banco Bradesco Financiamentos

2022年5月13日、このブラデスコ銀行の子会社がインシデントを検出した。このインシデントにより、融資契約の不正閲覧が可能になった可能性がある。顧客約53,000人の契約が影響を受けたと考えられている。

ロシア

複数企業、組織

アノニマスは、キャンペーン「OpRussia」の一環として、複数の組織から盗まれたとされるEメールを含むデータアーカイブを公開した。これらの組織には、SOCAR Energoresource、アチンスク市政府、全ロシア海洋漁業海洋学研究所の極地支部、JSC UMMCのPort and Railway Projects Serviceが含まれる。

南アフリカ

Averly

2022年5月9日、サードパーティーのサプライヤーに対するランサムウェア攻撃の後、このプラットフォームがデータ侵害に遭った。漏洩した顧客データには、姓名、メールアドレス、身分証明書番号、居住地住所、AverlyおよびTenant Profile Networkのログイン情報が含まれる。

米国

CHRISTUS Health

2022年5月上旬に、同病院が事業を行う地域のうちの1つで不正アクセスが確認された。AvosLockerランサムウェアが犯行声明を出し、このインシデントで盗まれたとされるデータをリークした。漏洩した可能性のあるデータは、氏名、生年月日、電話番号、健康保険情報など。

米国

Shaker Heights City School District

2022年1月30日にデータセキュリティインシデントが発見されたが、このインシデントは早くも2021年9月1日に始まっていた。攻撃者によって、氏名や社会保障番号などのデータが抜き取られた。（3,725）

米国

Parker-Hannifin

同社で、2022年3月11日から3月14日にかけてデータ侵害が発生した。2022年4月、Contiランサムウェアが同社に対する攻撃の犯行声明を出し、盗まれたとされるデータ419GB分を公開した。これには、フルネーム、社会保障番号、生年月日、自宅住所、運転免許証番号が含まれる。

カナダ

オンタリオ州エルジン郡

同郡のWebサイトとEメールシステムを2022年4月のほぼ全日にわたって停止させた最近のサイバーセキュリティインシデントで、個人情報が漏洩していた。2022年5月3日、同郡は、情報がダークウェブにダンプされたという知らせを受けた。ダンプされたデータには、健康保険証番号、社会保険番号、財務情報が含まれている。（330）

米国

マーシーハースト大学

LockBit 2.0は2022年5月17日、同大学を自らのリークサイトに追加した。攻撃者は、期限日の5月22日までに身代金が支払われなければ、盗まれたとされるデータ300GB分を公開すると脅迫した。

ザンビア

ザンビア中央銀行

2022年5月9日、同行はHiveランサムウェアの攻撃の標的になった。Hiveは同行のNASデバイスを暗号化したと主張した。同行は身代金の支払いを拒否している。

米国

Behavioral Health Partners of Metrowest

2021年9月14日から9月18日にかけて、同社のシステムへの不正アクセスが発生した。漏洩した可能性のある情報は、氏名、社会保障番号、生年月日、医療情報、健康保険情報など。（11,288）

カナダ

Allwell Behavioral Health Services

同社のものとされるデータが、2022年4月4日にダークウェブのリークサイトに流出した。攻撃者は、合計200GBのデータを抜き取ったと主張している。リークされたデータに含まれるのは、氏名、生年月日、電話番号、処方箋情報、病状、健康保険情報。（330）

マレーシア

国家登録局（JPN）

同局のものとされる160GBのデータベースが、現在、あるフォーラムで売りに出されている。JPNのデータセットには、1940年から2004年の間に生まれたマレーシア国民の個人情報（氏名、IC番号、住所、生年月日、性別など）が含まれている。内務省はデータ流出疑惑を否定している。現在進行中の調査における最初の結果は、データが異なる情報源から入手されたことを示している。（22,500,000）

米国

Michigan Avenue Immediate Care

ハッカー集団Targetware Teamが、2021年12月に580GB以上の患者の個人情報を盗んだとされている。流出した可能性のある情報は、氏名、生年月日、住所、社会保障番号など。（43,000）

銀行・金融に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の脅威アクターを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー：Sysrvボットネットの新種がSpring FrameworkとWordPressの脆弱性を悪用、脆弱なWindows / Linuxサーバーを標的に

Sysrvボットネットの新種Sysrv-Kをマイクロソフトの研究者が発見した。Sysrv-Kには新たな機能が搭載され、例えば、Spring FrameworkとWordPressの脆弱性を悪用して脆弱なWindowsサーバー、Linuxサーバーにクリプトマイニングマルウェアを展開する機能などがある。悪用される脆弱性には、いずれもパッチが存在するが、WordPressプラグインの古い欠陥のほか、Spring Cloud Gateway LibraryのCVE-2022-22947といった比較的新しい欠陥も含まれる。Sysrv-Kは、WordPressの構成ファイルやそのバックアップをスキャンし、データベースの認証情報を盗んだ後、この認証情報を使ってWebサーバーを乗っ取る。

暗号資産：「流動性マイニング」関連の複数の詐欺グループを研究者が特定

「流動性マイニング」をテーマとした詐欺を行う複数の詐欺グループを、Sophosの研究者が特定した。サイバー犯罪者らは、合法的な暗号資産ベースの分散型金融が複雑であることを、投資に対する異常なリターンを約束するさまざまな詐欺を隠すために利用している。特定されたグループは、主に中国を拠点に活動している。これらのグループは、不正なブロックチェーンコントラクト、Webサイト、AndroidとiOSのアプリケーションを併用して活動を行なっている。

政府：Contiランサムウェアがコスタリカへの脅迫をエスカレート

Contiランサムウェアのオペレーターは、2022年4月に相次いで発生した攻撃の身代金をコスタリカ政府に支払わせようとする試みを続ける中で、脅迫をエスカレートさせている。同グループの最新のメッセージでは、今回の侵入を行ったのがアフィリエイトのUNC1756だとされている。攻撃者は、コスタリカ政府内にインサイダーの仲間がいると主張しており、他のシステムへのアクセス獲得に向けて動いているものと思われる。また最新のメッセージでは、サイバー攻撃によって政権を「転覆」させると脅迫している。

重要インフラ

新たなハッカーグループSpace PiratesについてPositive Technologiesが分析した。同グループは、2017年までには活動を始めていた。主な目的はスパイ行為と秘密情報の窃盗で、標的はロシア、ジョージア、モンゴルの政府機関、IT部門、航空宇宙企業、電力会社である。ツールキットには、MyKLoadClient、BH_A006、Deed RAT、Zupdaxバックドア、PlugX、ShadowPad、Poison Ivyといった、独自のダウンローダー、これまで観察されていないバックドア、既知のマルウェアが含まれる。

小売

2022年5月13日、ブラジルのEコマース企業Americanasは、2つのサイバー攻撃によって1億8,300万ドルの売上損失が生じたことを報告した。これらの攻撃は2022年2月19日から20日にかけて発生し、Eコマースを利用不能にした。Lapsus$ Groupが攻撃に関与したと報じられている。Americanasによると、実店舗は営業を続けており、同社の物流部門はインシデント後に受けた注文の配送を続けているとのこと。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。