ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
厚岸漁業協同組合、Emotet感染により通販サイトの顧客情報が流出
ロシアのアクターSEABORGIUMによるキャンペーンをマイクロソフトが妨害
2022年8月18日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
AT&T
ダークウェブの人気ファイル共有サイトに存在する3.6GB分のファイルに、現在および過去の顧客の個人情報が含まれていた。このファイルは、名前、電話番号、住所、メールアドレス、生年月日、社会保障番号など、28,511,318件のレコードで構成されている。このデータには、2,280万件のメールアドレスと2,300万件の社会保障番号(いずれも重複なし)が含まれている。
米国
Ypsilanti Community Utilities Authority
2022年4月中旬、この公共事業当局がランサムウェア攻撃を受け、ネットワーク上に保存されているファイルが暗号化された。権限を持たないアクターが、氏名や銀行口座番号などの顧客データにアクセスできた可能性がある。(∼ 2,000)
マレーシア
iPay88 Malaysia
2022年5月31日、この決済ゲートウェイプラットフォームはサイバーセキュリティインシデントを発見した。カードデータが漏洩した可能性がある。
英国
Advanced Computer Software Group Ltd
この英国国民保健サービス(NHS)のマネージドサービスプロバイダーは、最近発生したサイバーインシデントがランサムウェア攻撃だったことを認めた。NHSのデータが盗まれたかどうかは明らかにしなかった。
日本
厚岸漁業協同組合
2022年6月のマルウェアEmotetへの感染により、同組合の通販サイト「エーウロコ」の顧客情報が外部に流出した可能性がある。流出した可能性があるデータには、氏名、住所、電話番号、メールアドレスが含まれる。
日本
住和港運株式会社
2022年6月4日、同社の業務用サーバーがサイバー攻撃の標的になった。その後、同サーバーがランサムウェアに感染していることが判明した。
トルコ
情報通信技術庁
調査の結果、この政府機関が2018年12月、インターネットサービスプロバイダ(ISP)から個人ユーザーのデータを月単位で収集し始めたことが判明した。これには、名前、姓、ID、納税者番号、central registry番号、出生地と生年月日、住所などが含まれる。2020年12月には、国内のISPおよび携帯電話事業者313社に対して、トルコ国内の全ユーザーのインターネットトラフィックを1時間単位で提供するよう要請が出されていたと報じられている。
米国
Newton Falls Exempted Village School District
この学区は、複数の生徒の社会保障番号に影響するセキュリティ侵害が発生した可能性について指摘を受けた。
米国
Swan Bitcoin
この貯蓄関連企業は、Klaviyoに対する最近の侵害の影響を受けている。この侵害で、ハッカーはSwanのEメールリストをダウンロードすることに成功した。流出した他の顧客データには、名前、IPベースの地理的位置情報、およびユーザーが最初にメールリストに参加した方法に関する情報が含まれている。
中国
Suishenma(新型コロナ関連アプリ)
「XJP」というハッカーが、同アプリのユーザーの個人情報を入手したと主張している。2022年8月10日、同ハッカーはBreach Forumsにそのデータを掲載した。データのサンプルには、電話番号、名前、中国の身分証明書番号、保健コードのステータスが含まれる。(48,500,000)
米国
Warner Norcross & Judd
同社は、2021年10月22日に自社システムの一部が不正アクセスを受け、個人情報および保護対象保健情報が漏洩した可能性があることを認識した。これには、氏名、生年月日、社会保障番号、支払いカード番号、金融口座情報、パスポート番号などが含まれる。また、この侵害はPriority Healthの会員12万人に影響を与えた可能性がある。
米国
Conifer Revenue Cycle Solutions LLC
2022年1月20日、権限を持たない者が業務用メールアカウントにアクセスした。特定の医療機関関係者の個人情報が漏洩した可能性がある。これには、氏名、生年月日、社会保障番号、金融口座情報、医療情報などが含まれる。
メキシコ
キンタナ・ロー州
同州の司法機関がランサムウェア攻撃を受け、高等司法裁判所はEメールを使用できない状態になった。
カナダ
Waterloo Region District School Board
2022年7月のサイバー攻撃で、1970年以降の職員情報がアクセスを受けた。流出したデータには、氏名、生年月日、銀行情報、社会保険番号、2012年以降の職員の給与支払履歴が含まれている。
米国
Cedar Rapids School District
2022年7月に発生したサイバーセキュリティインシデントで同学区は、重要情報が公開されるのを防ぐために名称不明のサードパーティーへの支払いを行った。その支払いが復号キー入手のためのものであったかどうかは明らかにされていない。
米国
ShitExpress
脅威アクターpompompurinは、同Webサイトの脆弱性を悪用して、顧客データベースをまるごとダウンロードした。同アクターは29,000件の顧客注文に関連する顧客メッセージ、メールアドレス、およびその他のプライベートデータにアクセスした。このデータベースのサンプルは、後にハッキングフォーラムで共有された。
アルゼンチン
コルドバの司法当局
2022年8月13日、この司法当局がランサムウェア攻撃を受け、ITシステムとオンラインポータルの停止を余儀なくされた。司法当局による正式な確認はなされていないが、報道によるとPLAYランサムウェアがこの攻撃に関与しているとのこと。
マレーシア
Kiplepay
2022年8月15日、Kiplepayは、サードパーティーでデータ侵害が発生した可能性があることから、一部のユーザーのKiple Visa Prepaid Cardが侵害された可能性があることを公表した。
米国
Signal
先日のTwilioに対するフィッシング攻撃により、一部のユーザーが影響を受けた可能性がある。影響を受けたユーザーの電話番号がSignalのアカウントに登録されていることが明かされた可能性があるほか、Signalに登録する際に使用されたSMS認証コードが明らかにされた。その他の個人情報へのハッキングやアクセスはなかったと報告されている。(∼1,900)
米国
Valent USA LLC
同社は、ランサムウェア攻撃と思われる事象に起因するデータ流出を報告した。漏洩した特定の個人の情報は、氏名、社会保障番号、運転免許証番号、パスポート番号など。
ペルー
政府
多くの議会職員や国会議員の携帯電話に不審なメッセージが送りつけられた。これを可能にしたのは、国会職員の個人データを含む文書がネット上で拡散されたことだと考えられている。この個人データには、フルネーム、国民身分証明書の番号、役職、個人および会社のメール、電話番号が含まれている。
米国
Smith, Gambrell & Russell
権限のない人物が同社のITシステムの一部から文書を持ち出した可能性がある。これには、氏名、住所、社会保障番号、運転免許証番号、政府発行のID、医療情報が含まれていた可能性がある。Lee County Emergency Medical Servicesのデータも影響を受けている。
米国
Lamoille Health Partners
同社はランサムウェア攻撃を受け、データ侵害に見舞われた。漏洩した患者データには、氏名、住所、生年月日、社会保障番号、健康保険情報、医療情報が含まれる。
メキシコ
Grupo Financiero Banorte
2022年8月3日、「Holistic-K1ller」という名のアクターが、サイバー犯罪フォーラムで、同社から盗まれたとされるデータを販売すると宣伝した。同アクターの主張によると、データベースには国民の氏名、住所、電話番号、タックスID、メールアドレス、口座残高が含まれているとのこと。Banorteは、同社のプラットフォームや技術インフラへの侵害はなく、情報は不正確で古いものだと主張している。(>10,000,000)
米国
Atlantic Dialysis Management Services
2022年6月9日、同社は自社コンピューターシステムにおける不正な行為を発見した。この不正行為の間に、患者情報がアクセスを受けた可能性がある。この患者情報には、氏名、住所、社会保障番号、生年月日、健康保険情報などが含まれる。Snatch Teamがこのデータ窃取の犯行声明を出し、盗まれたとされるファイルの一部をリークした。
米国
Novant Health
Facebook関連のトラッキングツールにより、保護対象保健情報が流出した可能性がある。流出した可能性のあるデータには、メールアドレス、電話番号、コンピューターのIPアドレス、および一部の連絡先情報が含まれる。金融情報や社会保障番号は、ユーザーがフリーテキストボックスに入力した場合にのみ影響を受けている。
米国
Practice Resources LLC
同社は、2022年4月12日にランサムウェア攻撃の標的にされた。同社は28の組織を代表して侵害通知を発した。(942,138)
インド
Shipyaari
同社内の出荷情報が数か月間にわたって公開状態となった。氏名、住所、電話番号、注文請求金額、配送状況など、顧客数千人の個人情報が公開状態となった。
米国
DigitalOcean
DigitalOceanは、Mailchimpに対するサイバー攻撃で、同社のMailchimpアカウントが侵害されたことを明らかにした。一部の顧客メールアドレスが流出した可能性がある。
米国
United Health Centers of San Joaquin Valley
2021年8月24日から28日の間に、組織のシステムから患者データが抜き取られた。漏洩したデータには、氏名、社会保障番号、カルテ番号が含まれる。2021年8月、Vice Societyランサムウェアのアクターが、盗まれたとされるデータをリークサイトで公開した。
米国
Methodist McKinny Hospital
同病院と、Methodist Allen Surgery Center、Methodist Craig Ranch Surgical Centerは、2022年5月20日から2022年7月7日の間に権限のない個人が特定のファイルをコピーしたと公表した。漏洩した可能性のあるデータは、氏名、住所、社会保障番号、生年月日、病歴情報など。アクターKarakurtはその後、会計報告書、役員・財務関連文書などを含むデータ367GB分を病院から盗み出したと主張した。(∼632)
米国
Apex Capital Corp
同社とその子会社であるTCS Fuelは、両社のシステムがマルウェア攻撃の標的にされたことを認めた。この攻撃によりTCS Fuelのネットワークが停止したため、一部の顧客はシステムへのログオン、トラックへの給油、資金へのアクセスができなくなった。ランサムウェアグループBlackByteがこの攻撃の犯行声明を出した。
米国
ウィットワース大学
Whitworth University (US)
2022年7月29日、「セキュリティ上の問題」により、同大学のWebサイトとキャンパスネットワークがオフラインになった。2022年8月10日、ランサムウェアグループLockBitが、会計、マーケティング、インフラ、文書などに関する情報を含む、同大学に属するデータ715GB分を所有していると主張した。ウィットワース大学は、この攻撃でどのような種類のデータが漏洩した可能性があるかを確認していない。
英国
South Staffordshire PLC
この水供給事業者は最近、第三者によるシステムへの不正アクセス絡みのサイバー攻撃を受けた。outh Staffordshireの子会社であるCambridge Water とSouth Staffs Waterも影響を受けている。Clopランサムウェアのアクターらがこの攻撃を行ったと考えられている。
銀行・金融に関連して言及された攻撃タイプ
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
2022年7月、Cleafyの研究者はAndroid向けバンキングトロイの木馬SOVAの新バージョンを2つ発見した。これらには、それぞれ新たな機能が備わっている。このマルウェアは、Google Chrome、Amazon、NFT Platformなどの有名ブランドになりすました偽のAndroidアプリケーションを装っている。SOVAは、銀行アプリや暗号資産取引所、ウォレットなど、200以上のモバイルアプリケーションを標的にしている模様。
政府:ロシアのアクターSEABORGIUMによるキャンペーンをマイクロソフトが妨害
マイクロソフトの研究者は、NATO諸国およびバルト、北欧、東欧諸国を標的とした、ロシアのアクターSEABORGIUMによるキャンペーンを中断させた。このキャンペーンには、侵入やデータ窃取につながる持続的フィッシングやクレデンシャル窃取の活動が含まれる。標的は、防衛・情報、政府、シンクタンク、高等教育機関など。
テクノロジー
GoogleがAndroid 13に導入する予定の最新セキュリティ機能を回避しようとする新しいマルウェアドロッパー「BugDrop」を、ThreatFabricの研究者が発見した。このマルウェアは、トロイの木馬Xenomorphに関与するアクターHadoken Securityの最新プロダクトだと考えられている。このアプリケーションは、QRコードリーダーを装い、オリジナルのBroxマルウェアのコードを若干修正したものを使用する。このマルウェアは一度開かれると、Accessibility Serviceのアクセスを要求して、TORプロトコルを使用するオニオンC2との接続を開始し、マルウェアのコンフィギュレーションとペイロードのURLを受信する。ダウンロードされたファイルは、Xenomorphマルウェアファミリーに属する。
暗号資産
Chromiumベースの有害ブラウザ拡張機能をトレンドマイクロが発見した。これはマルウェア「CopperStealer」に関与するグループが展開した最新のものと考えられている。拡張機能は、被害者が主要な暗号資産Webサイトにログインしている間に、感染したマシンでAPIキーを作成し、盗み出すことが可能。これらのAPIキーにより、拡張機能は取引を実行して、被害者のウォレットから攻撃者のウォレットに暗号資産を送信することが可能になる。
ヘルスケア
米国のHealth Sector Cybersecurity Coordination Centerは、Outlook、IONOS、AOLなどから複数の認証情報を盗み出す、医療従事者を標的としたフィッシングキャンペーンが進行中であると注意喚起した。このキャンペーンは、医療・公衆衛生(HPH)部門やHPH以外の組織にビジネスメール詐欺を行った可能性がある。このメールは「保護されたメッセージ」をルアーに使い、受信者に有害リンクをクリックするよう仕向ける。このリンクは、標的となった被害者組織のテーマを使用したEvernoteのサイトにつながる。このサイトにはHTMLファイルが含まれ、このファイルは、ダウンロードされるとフィッシングトロージャンとして機能する。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/alerts/weekly-cyber-digest/weekly-cyber-digest-12-18-august-2022/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/