Threat Report

Silobreaker-WeeklyCyberDigest

台湾政府の複数Webサイトにサイバー攻撃

山口 Tacos

2022.08.05

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

台湾政府の複数Webサイトが域外からのサイバー攻撃受ける

LockBitのオペレーターがWindows Defenderを悪用してCobalt Strikeを展開

3,200超のアプリからTwitter APIキーが流出、アカウントへのアクセスや乗っ取りに使われる恐れ

2022年8月4日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

St. Luke’s Health System

同病院システム内の全病院の患者・顧客の個人情報を、権限のない者が入手した可能性がある。漏洩した可能性があるデータは、氏名、住所、電話番号、ID番号、生年月日、社会保障番号の下5桁など。（31,573）

米国

Avamere Health Services

2022年1月19日から3月17日にかけて、サードパーティーがホストするネットワークへの断続的な不正アクセスが発生した。攻撃者は、保護対象保健情報を含む複数のファイルやフォルダを削除したとされている。これには、氏名、住所、生年月日、運転免許証または州の身分証明書番号、社会保障番号などが含まれる。（380,984）

中国

JusTalk

同メッセージングアプリに属する保護されていないデータベースにより、暗号化されていないプライベートメッセージ数百万件がインターネット上で数か月間公開状態となった。数百ギガバイト分のデータが含まれていたこのデータベースにより、送信者と受信者の電話番号、発信されたすべての通話、ユーザーの詳細な位置情報も公開状態になっていた。

カナダ

Newfoundland and Labrador English School District

同学区は、2022年7月25日と7月26日にメールアカウント20数件がハッキングされたことを確認した。ユーザーが保存した個人情報が漏洩した可能性がある。

米国

Blue Shield of California

同社は、ベンダーであるMatrix Medical Networkの下請け会社がランサムウェア事象の被害を受けていたことを知った。2022年4月28日、Matrixの下請け会社であるOneTouchPointは、脅威アクターが同社のサーバーに侵入したことを確認していた。漏洩した可能性のある情報は、氏名、住所、生年月日など。（1,506）

米国

Customer[.]io

Celsius Networkは、2022年6月に発生したCustomer[.]ioにおけるデータ侵害の影響を受けたことを明らかにした。このデータ侵害は、Customer[.]ioの従業員が顧客のEメールリストを悪意のある第三者に流出させたもの。CelsiusとOpenSeaのほか、Customer[.]ioの他の5つの顧客も影響を受けた。

英国

Microleaves

このプロキシサービスのWebサイトで、脆弱性によりユーザーデータベース全体が公開状態となった。公開状態となったデータの中には、同社の最もアクティブなユーザーに関する情報、各顧客が支払ってきた利用料、同社の支払い記録が含まれている。

中国

911 S5

同プロキシサービスは、データ侵害により事業運営の重要コンポーネントが破壊され、データやバックアップが失われことを受け、閉鎖する。同サービスは2022年7月上旬にハッキングされたとされ、その際、攻撃者は多数のユーザーアカウントの残高を操作した。

タイ

複数企業

脅威アクターDESORDENは、新たにタイで複数の被害者から個人情報を抜き取ったことを発表した。これらには、Frasers Property Thailand Public Co Ltd、Union Auction Public Co Ltd、Srikrung Broker Co Ltd.が含まれる。その他、未確認の被害者には、Pruksa Clinic、タイの大学、タイ国家警察、タイ公衆衛生省、タイ原子力技術研究所が含まれる。

フランス

MBDA

同ミサイル製造会社は、自社インフラに対するサイバー攻撃について反論する一方で、同社イタリア部門の使用する外付けハードディスクから犯罪グループがデータを取得したことを認めた。ハッキンググループAdrasteaが、同社からデータ60GB分をダウンロードしたと過去に主張し、盗まれたデータのサンプルを共有していた。

米国

Public Access to Court Electronic Records and Case Management

2020年初頭のサイバー攻撃で、敵対的な国外アクター3人が連邦裁判所の管理システムを侵害した。同システムは、米国の裁判所システム上の文書へのアクセスを提供している。

米国

Allegheny Health Network

同社でデータ侵害が発生した。このデータ侵害で攻撃者は、氏名、生年月日、住所、電話番号、メールアドレス、運転免許証番号、医療情報といった患者の個人情報にアクセスした可能性がある。また、ごく一部の例では、社会保障番号や財務情報も漏洩した可能性がある。（8,000）

ルクセンブルク

Creos、Enovos

Encevo Groupは、2022年7月22日から23日にかけて2つの事業体がサイバー攻撃を受けたことにより、事業体の顧客ポータルが影響を受け、データ流出が発生したことを認めた。BlackCatランサムウェアグループは、Creosを攻撃して150GBを超えるデータを盗んだと主張。これには、契約書、協定書、パスポート、請求書、メールなどのデータが入ったファイル18万件が含まれるとされる。

リトアニア

Svaros Broliai

2022年7月上旬、ハッカーが氏名、車の登録番号、メール、電話番号などの顧客情報を流出させた。（∼50,000）

イタリア

Vittoria Assicurazioni

同社が所有する、設定ミスのある保護されていないAmazon S3バケット2つに、ほぼ同一のデータセットが含まれており、それぞれファイルを97万件以上、バケットあたり合計約280GBのデータを公開状態にしていた。漏洩した可能性のある従業員データには、氏名、メールアドレス、メールの内容や添付ファイルが含まれる。また、コース参加者や詳細不明の人物の秘密データも公開状態となり、一部のケースでは社会保障番号も含まれる可能性がある。（∼800,000）

米国

WordFly

2022年7月10日に発生したWordFlyに対するランサムウェア攻撃で、カナダ国立バレエ団、Canadian Opera Company、Canadian Stage、Musical Stage Companyなどカナダの芸術・文化団体が新たに影響を受けた。この攻撃で、氏名、メール、ID番号といったパトロンの個人データが流出した可能性がある。

英国

Nelsons Solicitors Ltd

この法律事務所は、2022年5月30日にサイバー攻撃を受け、クライアントの個人情報を含む秘密データがアクセスを受けた。Nelsonsは、ハッカーがアクセスしたのはクライアントのデータのうち2%に過ぎないと述べている。

シンガポール

Wiseasy

ダークウェブマーケットプレイスで従業員のパスワードが発見された。これらのパスワードによりハッカーは、世界中の約14万台の決済端末を制御する2つのダッシュボードにアクセスできるようになった。ダッシュボードからはユーザーの氏名、電話番号、メールアドレスも漏洩した。

複数のアプリケーション

3,207のアプリが有効なTwitter APIキー（Consumer KeyとConsumer Secret）を流出させており、そのうち230のアプリは4つのAuth Credentialすべてを流出させている。これらのキーは、重大なアクションを実行する目的でTwitterアカウントへのアクセスや乗っ取りに使用することが可能。

米国

Fast Track Urgent Care

2021年4月17日から5月5日にかけて、同社の請求関連ベンダーであるPracticeMaxがランサムウェア攻撃の標的となった後、データ侵害が発生した。漏洩した可能性のある情報は、氏名、生年月日、社会保障番号、パスポート番号、財務情報など。（258,411）

ドイツ

Semikron

ランサムウェア攻撃により、同社のネットワークが部分的に暗号化された。同社のシステムに展開されたランサムメモには、攻撃がLV Ransomwareによって行われたことが示されている。同アクターは、2TB分のデータを盗んだと主張している。

米国

First Choice Community Healthcare

2022年3月27日、データセキュリティインシデントが発生した。漏洩した可能性のある情報は、氏名、社会保障番号、診断および臨床治療情報、生年月日など。Hiveランサムウェアは、2022年4月に同組織をリークサイトに追加した。

不明

約2億8,800万件のレコードを含む保護されていないElasticsearchクラスタのIPアドレス2件が発見された。これらのクラスタには、インドのEmployees’ Fund Organizationから割り当てられたユニバーサルアカウント番号を意味する「UAN」と題されたインデックスが含まれていた。公開状態となったその他のデータには、婚姻歴、性別、生年月日、銀行口座番号、年金基金口座名義人のフルネームが含まれていた。

中南米

複数企業

2022年8月3日、環境保護ハッキング集団Guacamayaは、多数の鉱山会社のホストを入手元とする2TB超分のEメールとファイルを公開した。データはENAMI、コロンビア石油・天然ガス庁、New Granada Energy Corporation、Quiborax、Oryx、Tejucana、およびグアテマラ環境自然資源省から入手されたもの。

米国

Aetna ACE

同社は、2022年4月に発生したOneTouchPointに対するランサムウェア攻撃の影響を受けたことを認めた。氏名、住所、生年月日、会員ID、一部の医療情報など、プラン会員の保護対象保健情報が影響を受けた。（326,278）

米国

Linn-Mar School District

2022年8月1日、アイオワ州のこの学区は、コンピューターネットワークに技術的な問題が発生していることを職員と保護者に通知した。同学区のコンピューターのスクリーンショットには、ランサムウェアグループVice Societyからの、すべてのファイルが暗号化されているとのメッセージが表示されている。同学区は、ランサムウェア攻撃の発生についてまだ認めていない。

不明

あるハッカーが、企業50社超と100台以上のESXiサーバー、および1,000台以上のサーバーをサポートするマネージドサービスプロバイダー（MSP）のパネルへのアクセスを持っていると主張している。あるアンダーグラウンドフォーラムに、このアクセス権を収益化するためのサポートを求める投稿がある。一般的なMSPの顧客基盤を踏まえると、個人情報、ビジネスデータ、ヘルスケア関連情報が危険にさらされている可能性がある。

教育に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、教育関連の脅威アクターを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

ヨーロッパの市民を標的とする偽の投資スキーム数件を、Group-IBの研究者が確認した。ヨーロッパを標的とした一般的な不正インフラの一部として、約11,197件のドメインが確認され、そのうち5,091件が現在もアクティブな状態。これらのスキームは、高い投資利益を約束してユーザーに繰り返し資金を送金するよう仕向けることを目的としている。

テクノロジー：LockBitのオペレーターがWindows Defenderを悪用してCobalt Strikeを展開

LockBitのオペレーターがWindows Defenderのコマンドラインツール「MpCmdRun」を悪用してCobalt Strikeのペイロードを復号・ロードしているのを、SentinelOneの研究者が確認した。初期アクセスは、パッチが適用されていないVMware Horizonサーバーに対してLog4jの脆弱性を悪用し、PowerShellコードを使ってWebシェルをインストールすることによって行われた。同アクターは、一連の列挙コマンドを実行し、MeterpreterやPowerShell Empireといった複数のポストエクスプロイトツールの実行を試みた。

暗号資産

北朝鮮の不正行為者らがLinkedInやIndeedからオンライン履歴書を盗用し、米国やヨーロッパの暗号資産企業にリモートで雇ってもらおうとしていることを、Mandiantの研究者が発見した。不正行為者らの最終目的は、北朝鮮政府の不正な資金調達の取り組みを支援することだとされている。

政府：台湾政府の複数Webサイトが域外からのサイバー攻撃受ける

台湾総統府のWebサイトが分散型サービス拒否攻撃を受けるなど、台湾の複数の政府Webサイトが域外からのサイバー攻撃を受けた。被害を受けた他のサイトには、台湾外交部、台湾桃園国際空港、台湾国防部のWebサイトが含まれる。攻撃の一部は中国やロシアが仕掛けたものだと言われている。

教育

韓国の特定の大学へ大規模に有害CHMファイルが配布されていることを、ASECの研究者が発見した。このファイルにはHTMファイル1件が含まれており、有害CHMファイルが実行されると、HTMファイルのコードが実行される。この感染チェーンは、最終的にReVBShellの実行につながり、ReVBShellはC2への接続を試みる。この接続によりReVBShellは、システム情報の取得やファイルのダウンロード、実行などを行えるようになる。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。