ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
主な標的は日本:Emotet、引き続きヘルスケアセクターを狙う
ロシア建設省のサイトにハッキング、ハッカーが身代金要求との報道も
ノバルティスから盗んだとする医薬品関連データをIndustrial Spyグループが販売
2022年6月9日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
メキシコ
Foxconn Baja California
2022年5月31日、同社の工場の1つがランサムウェア攻撃を受けた。LockBit 2.0ランサムウェアのオペレーターは、同社を自らのリークサイトに追加し、身代金が支払われない場合、盗まれたとされる情報を公開すると脅した。
複数企業
Secureworksは、インターネットに接続された保護されていないElasticsearchデータベース1,200件超が、身代金を要求する内容のメモに置き換えられていることを発見した。このメモでは、データと引き換えにビットコインを支払うことを要求しており、個別の身代金支払い要求が450件以上確認されている。
米国
ルイジアナ州・アレクサンドリア
ルイジアナ州当局は、2022年6月2日にAlphVランサムウェアグループが同市を被害者リストに追加したことを受け、ランサムウェアの調査を行っている。同グループは、80GBを超えるデータを盗んだと主張している。
ロシア
複数企業
アノニマスグループは、RRustam Kumaev and Partners、Vyberi Radio、Metprom Groupからデータを盗み出し、リークしたと主張した。アノニマスとつながりを持つハッカーRootkit_secは、ロシアの中央銀行を攻撃したと主張しており、これにより、ハッカーグループTheBlackRabbitWorldが秘密ファイルを入手できるようになったと考えられている。アノニマスはさらに、KillnetグループのメンバーのEメールアカウントをハッキングしたとも主張した。
オーストラリア
Icare
負傷した労働者の個人情報が、誤って雇用主および保険仲立人587人に共有された。漏洩した可能性のあるデータには、氏名、生年月日、負傷のカテゴリー、保険金請求履歴の概要が含まれる。(193,000)
イタリア
Tuoagente
この転職エージェントが所有する誰もがアクセス可能なデータベースで、販売代理人や企業2,418社の個人情報が公開状態になっていた。この1.5GB分のデータに含まれるのは、氏名、履歴書、メールアドレス、電話番号、職務経歴書、IPアドレスなど。(106,902)
オーストラリア
ACY Securities
設定ミスのある60GBのデータベースで、氏名、住所、生年月日、性別、メールアドレス、電話番号などが公開状態になっていた。
米国
Cape Cod Regional Transit Authority
この当局は、米国の戦没将兵追悼記念日の週末にランサムウェア攻撃を受けた。この攻撃で同局のファイルや個人情報がアクセスを受けたかどうかは明らかにされていない。
フランス
SATT Sud-Est
同社のWebサイトに、「身代金が支払われない場合、200GBを超えるデータが販売されることになる」とのメッセージが表示された。2022年6月2日、Industrial Spyグループは同社のデータを50万ドルで販売し始めた。
スイス
ノバルティス
Industrial Spyグループは、RNAやDNAを用いた医薬品技術や検査に関するデータを盗んだとして、同社のデータを50万ドルで宣伝した。ノバルティスは、秘密データは侵害されておらず、現時点ではデータが暗号化されたことを示す証拠もないと述べた。
米国
Mandiant
LockBit 2.0は、同社への攻撃に成功したと主張し、盗まれたとされる356,841件のファイルをリークすると脅している。Mandiantは、この主張を認識しているがそれを裏付ける証拠は確認していないと述べた。
イタリア
パレルモ
2022年6月3日、同自治体がサイバー攻撃の標的になり、市民や観光客向けの業務・サービスが大きな影響を受けたとみられる。すべてのサービス、公共Webサイト、オンラインポータルは、予防措置としてオフラインにされた。このインシデントでデータが侵害されたかどうかは不明。
米国
Rainier Arms
権限を持たない者が同社のオンラインストアにスキマーをインストールした。顧客の氏名とクレジットカード番号が盗まれた。(46,319)
ロシア
建設・住宅公営事業省
同省のWebサイトがハッキングされたとみられ、インターネットで同サイトを検索すると、ウクライナ語で「ウクライナに栄光あれ」と表示されるようになっていた。同省の担当者は、サイトはダウンしているが、ユーザーの個人情報は保護されていると述べた。他のメディアは、ハッカーがユーザーデータを開示しないことと引き換えに身代金を要求したと報じた。
米国
Shields Health Care Group
2022年3月7日から3月21日にかけて、正体不明のアクターが特定のシステムにアクセスし、患者データを取得した。流出した可能性のある情報は、氏名、社会保障番号、生年月日、自宅住所、医療機関情報、医療記録番号など。(~ 200万)
米国
Heidell Pittoni Murphy & Bach
攻撃者が特定の情報を掌握し、同社でデータ窃取・恐喝インシデントが発生した。漏洩した可能性のある患者データには、氏名、生年月日、社会保障番号、治療情報が含まれる。(114,979)
米国
複数の医療機関
現在発生中のEye Care Leadersでの情報侵害による影響を受けた組織に、Burman & Zuckerbrod Ophthalmology、FishmanVision、Associated Ophthalmologists of Kansas City, Finkelstein Eye Associates、Moyes Eye CenterおよびAU Healthなど、少なくとも6つの医療機関が新たに追加されている。漏洩したデータには、患者の氏名、生年月日、社会保障番号、診断内容、健康保険情報が含まれる可能性がある。(> 200,000)
米国
Transact Campus
保護されていないElasticsearchサーバーを経由して、100万件を超える学生のレコードが暗号化されないまま公開されていた。これらのデータは合計で5GBを超える。漏洩した可能性のあるデータには、氏名、メールアドレス、電話番号、プレーンテキストのログイン認証情報、取引の詳細、不完全なクレジットカード情報、購入された食事プランが含まれている。(~40,000)
米国
Numrich Gun Parts Corp
正体不明のアクターがスキマーをインストールし、2022年1月23日から4月5日の間に同社のWebサイトに入力された特定の決済情報にアクセスしていた。(44,169)
米国
Homestead Hospice & Palliative Care
2021年4月1日から2022年3月31日の間に、限られた数の同ケア施設のメールアカウントが不正アクセスを受けた。流出した可能性のある患者データには、氏名、住所、生年月日、医療記録番号、社会保障番号、健康保険情報、臨床・治療情報が含まれる。
ロシア
Accounting Systems
誰でもアクセス可能な130GBのデータセットに、年金基金や財務省に送金を行ったロシア国民の支払情報やログ、インボイス、その他金銭関連の情報が含まれていた。国民の個人を特定できる情報を含むデータセットもあった。
米国
Tenafly Public School District
2022年6月2日、同学区はランサムウェア攻撃を受け、学区全体のコンピューターシステムのシャットダウンを余儀なくされた。どのようなデータが漏洩した可能性があるかは不明。
教育に関連して言及された攻撃タイプ
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、教育関連の攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
政府
2022年6月2日、イラン国外に拠点を置く反体制派組織「モジャヘディネ・ハルグ(MEK)」が、テヘラン市の内部コンピューターシステムを一時的に停止させたサイバー攻撃の犯行声明を出した。MEKによると、この攻撃は「何か月も前から」計画されていたとのこと。同自治体のWebサイトは改ざんされ、MEKの指導者マスード・ラジャヴィとその妻マルヤム・ラジャヴィの画像や、イランのアリ・ハメネイ最高指導者に対するスローガンを表示するようになっていた。
暗号資産
クリップボードのハイジャックを利用した暗号資産のマイニングと窃取のオペレーションを、シマンテックの研究者が確認した。マルウェアはTrojan.Clipminerと名付けられ、KryptoCibuleと多くの類似点があることから、KryptoCibuleの進化版または模倣である可能性がある。このオペレーションにより、脅威アクターは少なくとも170万ドルの不正な利益を得ている。Clipminerはおそらく、トロイの木馬化したクラック版もしくは海賊版ソフトウェアのダウンロードによって拡散している。
ヘルスケア 主な標的は日本:Emotet、引き続きヘルスケアセクターを狙う
米国保健福祉省のサイバーセキュリティ・コーディネーションセンター(HC3)は、Emotetが引き続きヘルスケア分野を標的とした最も一般的なマルウェアだと注意喚起した。進行中のキャンペーンは、主に日本を標的としているが、北米も頻繁に標的になっている。HC3の注意喚起によると、このマルウェアは主に、有害マクロを含んだWord文書をメール添付する完全に自動化されたフィッシングプロセスを使って送信されるとのこと。
重要インフラ
これまで報告されていなかったレバノンを拠点とする脅威アクターのPOLONIUMが2022年2月以降、20以上の組織を狙った、もしくは侵害していたことを、マイクロソフトの研究者が突き止めた。被害者はイスラエルに拠点を置き、重要な製造業、IT、防衛、輸送システム、政府機関などの分野に属する。POLONIUMは、クラウドサービスを使用するカスタムインプラントをC2とデータ抜き取りの目的で展開し、インプラントはOneDriveとDropboxのPOLONIUM所有アカウントに接続する。インプラントには、CreepyDrive、CreepyBox、CreepySnailが含まれる。
銀行・金融
スペインのビルバオ・ビスカヤ・アルヘンタリア銀行(BBVA)になりすましたスミッシングキャンペーンで配布されているAndroidマルウェアを、セキュリティ研究者のDaniel Lopez氏が確認した。このキャンペーンは2020年から続いている。ユーザーは、銀行口座が停止されたことと、BBVAのアプリからログインする必要があることをメッセージで知らされる。ダウンロードリンクは有害アプリにつながり、アプリを開くとユーザーはフィッシングサイトにリダイレクトされる。このページは銀行になりすまし、ユーザに認証情報とパスワードを求める。なお、マルウェアはSMSメッセージの傍受と2要素認証の回避もできる。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-03-09-june-2022/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/