Threat Report

Silobreaker-WeeklyCyberDigest

モンテネグロ、モルドバ、スロベニアの政府関連システムにサイバー攻撃

山口 Tacos

2022.09.02

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

モンテネグロ、モルドバ、スロベニアの政府関連システムにサイバー攻撃

TwilioとCloudflareへの攻撃、大規模なフィッシングキャンペーンの一部だったと判明

タイのコロナ患者情報がダークウェブなどで売りに出される

関連記事：ダークウェブとは？何が行われている？仕組みから最新動向まで

2022年9月1日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱なプロダクト

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

イタリア

ASL Città di Torino

2022年8月19日、同社はランサムウェア攻撃と思われるものの標的にされ、予防措置としてすべてのコンピューターシステムがブロックされる事態が発生した。同インシデントは、San Giovanni Bosco、Maria Vittoria、Martini、Oftalmicoの各病院に引き続き影響を及ぼしている。

インドネシア

PT Jasamarga Tollroad Operator

Desordenは、5台のサーバーからユーザー、顧客、従業員に関するデータ、および企業データ、財務データを252GB分窃取したと主張している。同社は、窃取されたデータは内部データおよび企業関連情報に限られ、顧客データは含まれていないと述べている。

米国

DoorDash

サードパーティーベンダーが巧妙なフィッシング・キャンペーンで標的となり、DoorDashが管理する特定の個人情報が影響を受けた。攻撃者は氏名、メールアドレス、配送先住所および電話番号にアクセスし、一方で一部の顧客に関しては基本的な注文情報と一部の支払いカード情報も漏洩した。

ロシア

OneTwoTrip

210億件以上のレコードを含む保護されていない公開Elasticsearchクラスタが発見された。この中には、1,000件以上のデータのカタログが含まれており、その一部には、予約や支払い情報、名前、メールアドレス、電話番号、パスポート番号などの顧客データが含まれている。

米国

Baton Rouge General Medical Center

Hiveランサムウェアは2022年8月23日、同センターをリークサイトに追加した。個人情報や保護対象保健情報がダンプされ、その一部はBaton Rouge General Health Systemのものとみられている。

チリ

国家消費者サービス

同サービスは2022年8月25日にサイバー攻撃の標的にされ、Webサイトがダウンした。その後、このインシデントはランサムウェア攻撃であることが確認されている。

米国

EmergeOrtho

2022年5月18日、ランサムウェア攻撃が発生した。この事件の犯人、暗号化されたファイルの有無、身代金の要求の有無は、まだ不明。漏洩した可能性のあるデータには、氏名、住所、社会保障番号、生年月日が含まれる。（75,200）

米国

Primary Care of Long Island

Bl00dyランサムウェアグループは、2022年8月7日に同社をリークサイトに追加した。このデータ侵害は2022年5月23日頃に発生し、名前、電話番号、住所、社会保障番号、生年月日に影響を与えた。 oncallpractice[.]comも同じ事件の一部として掲載されたが、証拠としてリークされたデータの一部はBrighter Dental Center関連のものと思われる。

ロシア

START

同ストリーミングサービスは、サイバー攻撃で顧客の個人情報が流出したことを明らかにした。流出したのは、ユーザー名、メールアドレス、ハッシュ化されたパスワード、IPアドレス、登録県などを含む72GBのデータであるという。（7,455,926）

米国

BSA Hospice of the Southwest 、Family Medicine Centers

Vice Societyランサムウェアグループは最近、272,000件のファイルとともに、これらの2組織をリークサイトに掲載した。この2つの医療機関が同じ攻撃で標的となったかどうかは不明。

米国

Zimbra

公開された状態のAmazon Web Services S3バケットには、Eメール、パスワード、設定、アーカイブ、システムログなど、ユーザーの個人データが含まれている模様。

フランス

アルティス

報道によると、2022年8月9日、アルティスはHiveランサムウェアの攻撃を受けた。どのようなデータが影響を受けた可能性があるかは不明だが、Hiveはリークサイトに盗まれたとされるファイルをいくつか掲載し、ダウンロード可能な状態にした。

インドネシア

インドネシア国有電力会社

2022年8月18日、Breach Forumsのあるユーザーが、顧客の個人データを売りに出した。これには、名前、住所、顧客ID番号、キロワットアワーの使用量、電力メーター番号などが含まれる。（~17,000,000）

米国

Nelnet Servicing

ハッカーがテクノロジーサービスプロバイダーのNelnet Servicingのシステムを侵害した後、Oklahoma Student Loan AuthorityとEdFinancialから学生ローンを借りている個人のデータが流出した。流出した可能性のあるデータは、氏名、住所、メールアドレス、電話番号、社会保障番号など。（2,501,324）

インド

Vodafone Idea

複数の重大な脆弱性により、顧客の個人データが流出したと報告されている。これには、通話記録、SMSの記録、インターネット利用の詳細、位置情報の詳細、フルネーム、電話番号などが含まれる。Vodafone Ideaは、この情報漏洩を否定している。（301,000,000）

米国

San Diego American Indian Health Center

2022年5月5日のサイバー攻撃で、個人情報への不正アクセスが発生した。漏洩した可能性のあるデータには、生年月日、社会保障番号、運転免許証または州の身分証明書番号、部族IDカード番号、医療情報、健康保険情報が含まれる。（27,000）

タイ

医療科学局

同局から盗まれたとされるデータが、複数のダークウェブマーケットプレイスやTelegramチャンネルで販売されているのが確認された。データには、新型コロナの症状がある患者の氏名、年齢、連絡先情報、病歴など、個人を識別できる情報が含まれている。（15,000）

米国

Baker & Taylor

同社は、2022年8月23日にランサムウェア攻撃を受けたことを認めた。この攻撃により、同社の電話システム、オフィス、サービスセンターなどに影響を与える障害が発生した。

インド

アカサ航空

同航空会社のWebサイトにおいて、ログインおよびサインアップサービスの技術的なエラーにより、顧客の個人情報が公開状態になった。公開されたデータには、氏名、性別、メールアドレス、電話番号が含まれる。（34,533）

インド

Xinai Electronics

公開されたデータベースに、8億件以上の記録と、複数のドメインでホストされている画像ファイルの完全なWebアドレスが含まれていた。この中には、解像度の高い顔写真のほか、名前、年齢、性別、住民ID番号などの個人情報、さらに、Xinaiのカメラによって収集された車のナンバープレートの記録へのリンクも含まれている。

モンテネグロ

政府

Cubaランサムウェアは、同政府のデジタルインフラを標的とし、国会から財務書類、銀行員とのやりとり、口座の動き、バランスシート、税務書類、報酬、ソースコードなどのファイルを盗んだと主張した。政府はこの攻撃を確認済みだが、国会はデータが窃取されたことを否定し、アクターによって持ち出されたデータはすべて誰もが利用可能なデータだと述べている。

米国

ロサンゼルス郡公衆衛生局

過去2年間に衛生検査を受けた食品事業者の一部が、誤って個人情報が同局のWebサイトに掲載されてしまうという被害に遭った。掲載された情報には、氏名や運転免許証番号のほか、場合によっては生年月日が含まれる。この掲載により影響を受けたのは、806の施設の運営者。

イタリア

Eni SpA

2022年8月31日、同石油メジャーは、ここ数日の間に、同社のネットワークへの不正アクセスが検出されたことを認めた。このインシデントはランサムウェアによる攻撃と考えられているが、同社はまだこの真偽について確認していない。

米国

Goodwill Industries of New Mexico

2022年8月28日、LockBit 3.0ランサムウェアが、同非営利団体を自身のリークサイトに追加し、約250GBのデータを取得したと主張した。掲載されたものには、同団体のデータを含むファイルディレクトリのスクリーンショットが含まれている。

ブラジル

政府

Everestランサムウェアのオペレーターらは、ブラジル政府のネットワークに侵入して3TB分のデータを盗み出したと主張している。同グループは現在、システムへのアクセス権を第三者に販売しているとされている。

移民政策発展国際センター

Karakurtランサムウェアグループが、最近の攻撃の犯行声明を出した。この攻撃で同グループは、375GB分のデータを盗んだとされている。盗まれたデータには、契約に関するやり取り、契約書のスキャン、プロジェクト予算、財務・保険関連書類、インボイス、パスポート、同組織の主要メンバーのメールボックスなどが含まれていると報告されている。

ポルトガル

TAPポルトガル航空

Ragnar Lockerランサムウェアが最近の攻撃の犯行声明を出し、数百ギガバイト分のデータが漏洩した可能性があると信じる「理由」があると述べた。盗まれた顧客情報とみられるもののスクリーンショットには、氏名、生年月日、Eメール、住所などが含まれている。

政府に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連のマルウェアを示しています。

政府部門に関連するマルウェア

各業界の週間概況

各業界に関わる先週のニュースや情報です。

ヘルスケア

過去3か月間に少なくとも4つの組織を狙ったKarakurtのランサムウェア攻撃について、HC3が米国のヘルスケア部門に警告を発している。このグループは通常、氏名、住所、社会保障番号などの患者の秘密情報を含むデータを盗み、要求した身代金が支払われない場合はデータを流出させる、と脅迫します。HC3は、ヘルスケアおよび公衆衛生部門に対し、Karakurtのオペレーションを認識し、適切なサイバーセキュリティの原則と実践を導入して、インフラおよびデータを侵害から守るよう推奨している。

教育

インドネシア、サウジアラビア、南アフリカ、タイの教育およびヘルスケア関連企業を標的とする新たなGo言語ランサムウェアを、トレンドマイクロの研究者が発見した。Agendaランサムウェアは、各被害者ごとにカスタマイズされており、確認されたサンプルには、流出したアカウント、顧客のパスワード、暗号化されたファイルの拡張子として使用される固有の企業IDが含まれていた。確認されたインシデントの1つでは、公開されているCitrixサーバーが、侵害された有効なアカウントを経由した初期アクセスに使用されていた。このランサムウェアは、セーフモードでシステムを再起動することができ、複数のサービスやプロセスの停止を試みるほか、複数の実行モードを備えている。永続性は、svchost実行ファイルにDLLを注入することによって達成される。

政府：モンテネグロ、モルドバ、スロベニアの政府関連システムにサイバー攻撃

モンテネグロの政府ITインフラが2022年8月25日に「前例のない」サイバー攻撃を受けたことが、当局により確認された。この組織的な攻撃は当初、ロシアのハッカーによって行われたと考えられていたが、その後、Cubaランサムウェアが犯行声明を出している。同日、モルドバのテクノロジー・サイバーセキュリティサービスは、過去72時間の間に、同国の国家システムを標的とした一連のサイバー攻撃があったことを確認した。この分散型サービス拒否攻撃の試みは、合計80の情報システム、プラットフォーム、および公共ポータルを標的としていたが、成功したものは限られていた。スロベニア共和国保護救助庁も2022年8月にサイバー攻撃を受け、インシデント報告システムが影響を受けた。

重要インフラ

2022年4月から6月にかけてオーストラリア、マレーシア、ヨーロッパ、および南シナ海の連邦政府、エネルギー、製造部門を標的としているサイバースパイキャンペーンを、ProofpointとPricewaterhouseCoopersの研究者が確認した。このキャンペーンは、中国を拠点とする脅威アクターTA423によって実施されていると、中程度の確度で評価されている。キーロガー、ブラウザプラグイン、ブラウザフィンガープリントといった多数のモジュールを含むフレームワークScanBoxを配布するために、フィッシングメールが使用される。このキャンペーンは、2021年3月から運用されているインテリジェンス収集キャンペーンの第3フェーズであると考えられている。

テクノロジー：TwilioとCloudflareへの攻撃、大規模なフィッシングキャンペーンの一部だったと判明

TwilioとCloudflareに対する最近のフィッシング攻撃が、136の組織の9,931件のアカウントが侵害されるという大規模なフィッシングキャンペーンの一部であったことを、Group-IBの研究者が発見した。0ktapusと名付けられたこのキャンペーンは遅くとも2022年3月から続いており、OktaのID認証情報と二要素認証（2FA）コードを盗み、組織のネットワークにアクセスして情報を盗むことや、可能ならアクセス権限を昇格させることを目的としています。被害者の大半は米国に居住しており、標的となった業界の上位はソフトウェア、通信、ビジネスサービスだった。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。