Threat Report

Silobreaker-WeeklyCyberDigest

Confluenceの重大欠陥を、ランサムウェアグループや国家アクターなどが悪用

山口 Tacos

2022.06.17

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

引き続き悪用されるアトラシアン製Confluenceの重大欠陥、ランサムウェアグループや国家アクターも悪用

ロシア建設省のサイトにハッキング、ハッカーが身代金要求との報道も

AliExpress、Amazonなどになりすました不正ドメインが複数見つかる

2022年6月16日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Goodman Campbell Brain and Spine

Hiveランサムウェアが、2022年6月8日に同社をリークサイトに追加した。証拠として提供された特定のファイルには、医師の個人情報や財務情報、重要なアカウントのパスワード、特定の患者に関する情報などが含まれていた。

ベトナム

TheTruthSpy

このストーカーウェアアプリが収集したデータが、Tor（onionドメイン）サービス上でダンプされた情報と共に、同社のWebサイトで自由に閲覧できるようになっている。公開されたデータの中には、子供の画像も含まれている。

中国

Mobike

保護されていないAmazonのストレージバケットで、2017年以降の中南米のユーザーに関する暗号化されていないデータが流出。流出したデータには、12万件のパスポート、運転免許証、身分証明書などが含まれている。また、ユーザーの本人確認のための顧客の自撮りや署名も流出した。

米国

Ellsworth

同市は、2022年6月2日にランサムウェアの被害に遭った。個人情報へアクセスされたかどうか、またどのような個人情報へアクセスされたかは依然として不明。

インド

MyEasyDocs

Microsoft Azureのクラウドアカウントでデータ侵害が発生し、2016年4月25日からの30.5GBのデータが流出。流出した可能性のあるインドとイスラエルの学生に関するデータは、氏名、専攻科目、国民IDおよび大学登録番号、卒業年月、成績、メールアドレス、電話番号など。（~54,700）

米国

OnDeck

2022年3月10日に不正アクセスが発生し、その際、攻撃者は秘密データをプライベートクラウドストレージに転送した。流出した可能性のある情報は、氏名、社会保障番号、納税者番号、運転免許証およびパスポート番号、金融口座情報など。

米国

AdviceOne LLC

2022年2月23日から3月5日の間に同社のネットワークへの不正アクセスが発生。流出した可能性のある情報は、氏名、生年月日、社会保障番号、運転免許証番号、銀行口座情報、ユーザー名とパスワードなど。（7,008）

米国

MCG Health

2022年3月25日、不正アクセスにより、氏名、社会保障番号、医療コード、住所、電話番号、メールアドレス、生年月日、性別など、患者および会員の個人情報が窃取された。

米国

Tehama County Social Services

脅威アクターQuantumが、財務情報、予算、出生証明書、個人の医療情報、秘密文書などを含むとされる特定の企業データを自身のダークWebサイトに流出させた。

米国

Yuma Regional Medical Center

同病院はランサムウェアの攻撃を受け、ファイルの一部がシステムから削除された。流出した可能性のあるデータは、氏名、社会保障番号、健康保険情報、および限定的な医療情報など。（~700,000）

米国

Choice Health

2022年5月7日、権限を持たない個人がセキュリティ保護のされていないデータベースにアクセスし、特定のファイルを窃取した。流出した可能性のあるデータには、氏名、社会保障番号、生年月日、住所、健康保険情報、メディケア受給者番号などが含まれる。

米国

Aesto Health

2021年12月25日から2022年3月8日の間に、権限を持たないアクターが同社のシステムにアクセスした。Oscealo Medical Center（OMC）の患者のデータが影響を受け、これには、氏名、生年月日、医師名、OMCでの放射線画像診断に関連するレポート所見などが含まれていた。

南アフリカ

Shoprite Group

2022年6月10日、同社は、データ侵害の疑いがあるインシデントについて認識した。これにより、エスワティニ、ナミビア、ザンビアとの間で送金を行う一部の顧客が影響を受けた可能性がある。同インシデントでは、名前とID番号が流出した可能性があると報告されている。

米国

Val Verde Regional Medical Center

サイバー犯罪者らが、個人を特定できる情報を含む秘密ファイルへアクセスまたは窃取した。これには、氏名、社会保障番号、生年月日、医療情報、健康保険情報、およびその他の個人情報が含まれている。（86,562）

Travis CI

Travis CI API を介して数万人のユーザートークンが公開され、誰でも過去の平文ログにアクセスすることが可能になっている。Free Tierユーザーのログ7億7000万件超がアクセス可能になっており、これらは、クラウドサービスプロバイダーのトークン、秘密情報、認証情報を抽出するために使用可能。

マレーシア

国家登録局および MySejahtera

オープンソースの情報ツールを、マレーシア人の個人情報を検索するために使用することができる可能性がある。MyKad番号、住所、電話番号、投票内容、車両所有履歴、道路交通局（JPJ）や警察への出頭履歴などが含まれる。このWebサイトは、2022年5月に流出したマレーシアの国家登録局に属するデータベースと同じものを使用しているとされる。

米国

カイザーパーマネンテ

2022年4月5日にメールへの不正アクセスが発生。流出した可能性のあるデータは、氏名、医療記録番号、診療日、検査結果情報など。（69,589）

インド

PM Kisan

政府出資の所得支援制度のWebサイト上の脆弱なエンドポイントから、地域別に全農家のアドハー番号が流出した。（110,000,000）

米国

The Allison Inn & Spa

ALPHVランサムウェアの運営者が、オレゴン州のこのホテルから112GBのデータを窃取したと主張。流出した可能性のある従業員データには、氏名、社会保障番号、生年月日、電話番号、メールアドレスが含まれる。また、宿泊客のデータについても、氏名、到着日、宿泊費などが含まれているとみられている。（>1,500）

ウガンダ

ウガンダ証券取引所

データベースの設定ミスにより、同取引所のポータルが所有していたとされる32GBを超えるデータが流出した。これには、名前、ユーザー名、住所、生年月日、アクセストークン、平文のパスワード、銀行情報などが含まれている。

ベラルーシ

複数の政府関連組織

2022年6月14日、ハクティビストグループ「Cyber Partisans of Belarus」が、ベラルーシの外国大使館や領事館などの通話を盗聴した音声とされるものを公開した。これらの通話は、ベラルーシ内務省が秘密裏に収集したものと報告されている。同グループは、同省を2021年にハッキングしたと主張した。グループの代表者は、音声通話約1.5TB分（5万時間分の録音に相当）を保有していると述べた。

イタリア

ピサ大学

2022年6月11日、BlackCatランサムウェアグループが、本学を被害者として掲載した。どのようなデータが関与している可能性があるかは、依然として不明。

米国

Montrose Environmental Group Inc

2022年6月11日の週末、同社はランサムウェア攻撃の標的となった。同社は、バックアップデータや、Eメールなどのクラウドベースの企業システムは影響を受けていないと考えている。

マレーシア

StoreHub

同社が所有する保護されていないElasticsearchサーバーに、1TBを超えるデータ（レコード17億件超に相当）が含まれていた。公開状態となった顧客や企業のデータには、フルネーム、電話番号、住所、メールアドレス、部分的にマスクされたクレジットカード情報、店舗名などが含まれている。

ルーマニア

BeanVPN

公開状態のElasticsearchデータベースに、同アプリが生成した接続ログ18.5GB分が含まれていた。このデータセットには、ユーザーのデバイスとPlay Service ID、IPアドレス、接続タイムスタンプ、その他の診断情報など、2,500万件超のレコードが含まれていた。

政府に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー：引き続き悪用されるアトラシアン製Confluenceの重大欠陥、ランサムウェアグループや国家アクターなど複数の敵対者が悪用

アトラシアン製品Confluence の重大な欠陥（CVE-2022-26134）の広範な悪用の試みが、引き続き観測されている。悪用を試みる敵対者には、ランサムウェアAvosLockerやCerber2021のオペレーター、DEV-0234、およびDEV-0401などがいる。その他の攻撃では、暗号資産マイナー、Cobalt Strike、悪意あるWebシェル、MiraiおよびKinsingボットネットなど、さまざまなマルウェアが展開されている。

暗号資産：バックドア付きのWeb3ウォレットを配布する新キャンペーン「SeaFlower」

Web3ウォレットのバックドア付きバージョンを配布するキャンペーン「SeaFlower」を、Confiantが2022年3月に特定した。このバックドア付きウォレットはシードフレーズの抜き取りを行う。標的となったウォレットは、Coinbase、MetaMask、TokenPocket、imTokenなど。有害ウォレットは、通常、検索エンジン（特にBaiduといった中国のもの）を介してアクセスされる偽のクローンサイトを介して配布される。iOS版の方がより手が込んでいるとみられ、アプリのサイドロードにはプロビジョニングプロファイル、自動展開、および高度なバックドアコードが使われる。

小売：AliExpress、Amazonなどになりすました不正ドメインが複数見つかる

AliExpressになりすまして不正に登録された5つのドメイン登録を、IBMが特定した。これらのドメインはすべてGoDaddyで登録されており、ログイン認証情報の窃取に使用されている可能性が高い。WhoisXML APIは、AliExpress、Amazon、Avito、eBay、Etsy、楽天、Walmartになりすましたドメインとサブドメインをさらに13,737件特定した。これらのドメインはすべて2022年5月1日から6月1日の間に新しく登録されたもので、960のリソースに「悪意があるもの」とするフラグが立てられている。

政府

DragonForce Malaysiaは、70を超えるインドの政府および民間のWebサイトをハッキングし、改ざんした。このグループがこれらのWebサイトを改ざんしたのは、インド人民党の元党員Nupur Sharma氏とNaveen Kumar Jindal氏による預言者ムハンマドに関する最近の発言への対抗措置だったと報じられている。また、同グループのメッセージは、世界中のハッカーや活動家に対し、インドに対するキャンペーンを開始するよう呼びかける内容だった。

銀行・金融

新たなAndroid向けバンキング型トロイの木馬「MaliBot」を、F5 Labsが特定した。現在、同マルウェアはスペインとイタリアの顧客を狙っているが、いずれは標的となる対象がさらに広がる可能性が高い。このマルウェアは、暗号資産アプリと思われるものを使って拡散されている。MaliBotは、SOVAを大幅に修正したものとみられ、機能、標的、C2サーバー、ドメイン、パッキングスキームがいくらか変更されている。このマルウェアは、金融関連情報、認証情報、暗号資産ウォレット情報、および個人を識別できる情報を窃取する。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。