Threat Report

Silobreaker-WeeklyCyberDigest

Microsoft OfficeのゼロデイFollinaを中国関連グループが悪用

山口 Tacos

2022.06.03

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

Microsoft Officeのゼロデイ欠陥Follinaを中国関連グループが悪用

関連記事：「マクロ無効でも悪用可能　Microsoft Officeの新たなゼロデイ『Follina』」

GitHub、攻撃者が特定のnpmユーザーのログイン情報を盗んだことを公表

ダークウェブに出回るロシアのクレジットカードデータ量が大幅に増加

2022年6月2日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Cooper University Health Care

2021年11月24日以前に、権限のないアクターが従業員のメールアカウントにアクセスした。漏洩した可能性のある情報は、氏名、生年月日、診断・治療情報、カルテ番号など。

米国

Comstar LLC

この救急車関連の請求サービスは2022年3月26日、自社システムにおけるセキュリティインシデントを発見した。漏洩した可能性のあるデータには、氏名、生年月日、健康保険情報、運転免許証、金融口座情報、社会保障番号、医学的評価が含まれる。

米国

Alameda Health System

同社は、メールシステム内の情報に影響を与えるデータ侵害に見舞われた。どのような種類のデータが影響を受けるのかは、まだ不明。（~90,000）

米国

AGCO

ランサムウェアグループBlack Bastaが2022年5月25日、リークサイトに同社を追加し、盗まれたとされるデータのサンプルを掲載した。AGCOの広報担当者は、2022年5月6日に発生した攻撃で従業員データが抜き取られたことを認めた。

米国

ベライゾン

従業員数百人の個人情報を含むベライゾンのデータベースをハッカーが入手したと報じられている。このデータベースには、フルネーム、メールアドレス、企業ID番号、電話番号が含まれているという。

カナダ

Calgary Urban Project Society

ある従業員のメールアカウントが2021年9月にハッキングを受けた。このインシデントにより、運転免許証、銀行の取引明細、賃貸借関連の報告など、複数人の個人情報が流出した。

米国

Voto Consulting

保護されていないデータベース上に、採用候補者の履歴書や個人情報が公開状態のまま放置されていた。これには、名前、メールアドレス、候補者の履歴書が含まれる。多くの履歴書には、職歴、自宅住所、電話番号、生年月日のほか、在留資格やセキュリティクリアランスが記載されていた。（>30,000）

米国

Martin University

同大学は、2022年1月3日にランサムウェア攻撃を受けた。学生の個人情報に攻撃者がアクセスした可能性がある。

カナダ

Regina Public Schools

同学区は2022年5月22日、BlackCatランサムウェアの攻撃を受けた。攻撃者は、500GBのファイルを暗号化して税金関連のレポート、健康関連情報、パスポート、社会保険番号などのさまざまなデータを盗んだと主張している。

米国

GitHub

GitHubは、攻撃者が特定のnpmユーザーのログイン情報を盗んだことを明らかにした。2015年のアーカイブ内のユーザー名、パスワードハッシュ、メールアドレスが盗まれた。その他、アクセスされたデータには、2021年4月7日付けのプライベートなnpmパッケージマニフェストとパッケージのメタデータが含まれる。（~100,000）

オーストリア

ケルンテン州

2022年5月24日、同州はBlackCatランサムウェアの攻撃を受け、政府サービスの大規模なIT障害が発生した。攻撃者は、復号ソフトウェアおよび盗んだとするデータと引き換えに、身代金を要求した。ケルンテン州のプレスサービスの代表者は、データが抜き取られた形跡はなく、データはバックアップされていると述べた。

米国

New York State Joint Commission on Public Ethics Commissioner

2022年5月28日、同コミッショナーは、2022年2月のサイバー攻撃で、2015年以前の財務開示に使用されていた同コミッションのシステムから秘密情報が盗まれたことを報告した。これには、メールアドレス、ユーザー名、パスワードが含まれる。

オーストラリア

Spirit Super

2022年5月19日、スタッフのメールアカウントがフィッシング攻撃を受け、2019年および2020年の会員記録が漏洩した。漏洩した可能性のある情報には、氏名、住所、年齢、メールアドレス、電話番号、会員アカウント番号、会員残高が含まれる。（~ 50,000）

南アフリカ

シリル・ラマポーザ大統領

ハッキンググループSpiderLog$は、同大統領が2000年代に同国のトップ銀行から借り入れたローンの詳細を入手したと主張した。SpiderLog$は、N4ughtySecTUが2022年初めにTransUnionを侵害した後にリークしたデータを利用することができたと述べた。同グループは、軍事や諜報関連の機密データにもアクセスできることを証明するスクリーンショットを提供したとされている。

英国

Aon Corporation

2020年12月29日から2022年2月26日の間のさまざまなタイミングで、権限のないサードパーティーが特定のシステムにアクセスした。漏洩した可能性のあるデータには、氏名、社会保障番号、運転免許証番号、ベネフィットエンロールメント情報が含まれる。

ロシア

複数の銀行

Cyberintの研究者は、ダークウェブのマーケットプレイスで出回る盗まれたロシアのクレジットカードデータが大幅に増加していることを確認した。流出したカードのほとんどはズベルバンクが発行したもので、ロシアのウクライナ侵攻が始まって以来、11万枚を超えるズベルバンクカードの流出が確認されている。

マレーシア

国際貿易産業省

同省が所有するサーバーから、新型コロナワクチン接種プログラムに登録された職員の個人情報が流出したとされている。流出したデータには、氏名、IDカードまたはパスポートの番号、職員ID、年齢、性別、連絡先番号が含まれる。

オーストラリア

国家障害者保険制度

ソフトウェアプロバイダーのCTARSは、2022年5月15日に権限のないサードパーティーが同社のシステムにアクセスしたことを公表した。CTARSはその後、自社データのサンプルがダークウェブフォーラムに投稿されていたことを発見した。漏洩した可能性のあるデータには、医療情報、メディケアカード、年金受給者カード、納税者番号が含まれる。

トルコ

ペガサス航空

誰もがアクセス可能なAWS S3バケットで、約2,300万件のファイルが公開状態になっていた。これには、航空図、操縦術資料、乗組員の個人を特定できる情報といったフライト関連の秘密情報が含まれている。

コスタリカ

社会保険公庫（CCSS）

2022年5月31日、Hiveランサムウェアの攻撃により、CCSSはシステムの停止を余儀なくされ、医療に混乱が生じた。この攻撃により、公共薬局の「Unique Digital Medical File」と「National Prescriptions System」が侵害された。

米国

Optoma Technology

ランサムウェア攻撃により、2022年4月21日から5月1日にかけて、特定のファイルへの不正アクセスが発生した。漏洩した可能性のある情報は、氏名、社会保障番号、運転免許証番号、州の身分証明書番号、金融口座情報など。

米国

Kanza Cooperative Association

2021年9月9日、権限のないサードパーティーが同組織のネットワークにアクセスした。Kanzaは、このインシデントでどのような種類の情報が影響を受けたかを公表していない。

米国

Hanesbrands Inc

同社は、2022年5月24日にランサムウェア攻撃を受けた。この攻撃が同社に与えた影響や、身代金が支払われたかどうかは不明のまま。

テクノロジーに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、テクノロジー関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

イタリアのCSIRTは、分散型サービス拒否攻撃について警告する緊急アラートを発表した。同機関は、国の公共団体、公益サービスを提供する民間団体、または同国を想起させるイメージを持つ民間団体に対する攻撃が差し迫っている可能性があることを示す、連続的な兆候を確認した。この警告は、親ロシア派のハクティビストグループKillnetが2022年5月24日に「Operation Panopticon」を発表し、「サイバーファイター」の志願を繰り返し呼びかけたことを受けて発せられた。

テクノロジー：Microsoft Officeのゼロデイ欠陥Follinaを中国関連グループが悪用

Microsoft Officeのゼロデイ欠陥「Follina」によって、マクロが無効化されていても攻撃者がコードを実行できるようになる可能性がある。このゼロデイは、7週間にわたって盛んに悪用されていると考えられている。直近では、中国関連グループのTA413が、コード実行を実現するため、この欠陥を武器化したWord文書を含むZIPアーカイブをURLを使って配布していた。

教育

FBIは、サイバー犯罪者がダークウェブフォーラムや誰もがアクセス可能なフォーラム上で認証情報を宣伝しているとして、高等教育機関に警告を発した。これらの認証情報は、スピアフィッシングやランサムウェア攻撃、またはその他のタイプの侵入によって取得されることが多い。

小売

イスラエル国家サイバー総局は、スマートキャッシュレジスターのソフトウェアを狙った、広範囲に及ぶ新たなランサムウェア攻撃を確認した。この攻撃は、ソフトウェアベンダー自身を標的としている。レジの画面に表示されるメッセージは、管理インターフェイスからの正規のシステムメッセージに見える。メッセージがクリックされるとマルウェアが起動し、レジへのアクセスがロックされる。

銀行・金融

2022年4月上旬、Trustwaveの研究者は、税務管理サービスからのメモを装ったEメールによってGrandoreiroが拡散されていることを確認した。このキャンペーンは、ブラジル、スペイン、メキシコの銀行ユーザーをターゲットにしている。Eメールには、DocuSign上のPDFと思われるものへのリンクが含まれている。このPDFは、MSIインストーラーを含むZIPアーカイブにつながっている。このインストーラーには、最終的なペイロードをダウンロード・実行するための有害カスタムJavaScriptコードが含まれている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。