Threat Report

killnet

Silobreaker-WeeklyCyberDigest

日本政府サイトにサイバー攻撃、親ロ派グループKillnetが犯行声明

山口 Tacos

2022.09.09

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

日本政府サイトにサイバー攻撃、親ロシア派グループKillnetが犯行声明

関連記事：ハクティビストKillnet（キルネット）のこれまでの動き

ハッカーがTikTokとWeChatを侵害したと主張

教育部門を狙うランサムウェアアクターVice Societyについて、米当局が注意喚起

2022年9月8日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

インドネシア

通信・情報省

ハッカーサイト「breach[.]co」のユーザーが、13億枚を超えるSIMカードの登録データを販売していると主張した。このデータには、国民IDカード番号、電話番号、通信事業者、登録データが含まれていると報告されている。同省は、このデータの出所ではないとしている。

米国

Neopets

2021年1月3日から2022年7月19日までの間、攻撃者が同社のITシステムにアクセスできる状態だった。過去および現在のプレイヤーの流出情報には、名前、メールアドレス、ユーザー名、生年月日、性別、IPアドレス、Neopets PIN、ハッシュ化されたパスワードなどが含まれる可能性がある。

米国

フレモント郡

最近発生したサイバーセキュリティ・インシデントは、BlackCatランサムウェアの攻撃によるものだった。従業員や、コミュニティ内の少数の人々の個人情報が流出した可能性がある。

米国

Bridgestone Americas Inc

2022年2月に発生したLockBitランサムウェアの攻撃により、データ漏洩が発生した。漏洩した特定の個人のデータには、氏名、社会保障番号、銀行口座情報が含まれる。

米国

Tulsa Tech

同学区は、何者かが2022年6月に同社のシステムにアクセスし、ネットワークからファイルを盗んだことを明らかにした。これには、1986年から1999年の間にクラスに在籍していた学生のデータが含まれており、氏名や社会保障番号などが含まれる。

米国

内国歳入庁（IRS）

IRSは、納税申告のためにForm 990-Tのデータを提出した納税者に関する秘密情報を、不注意で流出させた。流出した情報には、氏名、連絡先、対象者のIRAの申告所得が含まれる。（120,000）

米国

KeyBank

2022年7月5日、サードパーティーベンダーであるOverby-Seawell Companyがハッカーに狙われ、データ流出が発生した。ハッカーは、KeyBankの住宅ローン利用者の個人情報（氏名、住所、住宅ローン口座番号、社会保障番号の最初の8桁など）を取得した。

イタリア

Gestore dei Servizi Energetici SpA

BlackCatランサムウェアが、2022年8月28日に発生したサイバー攻撃の犯行声明を出した。同グループは、プロジェクトや連絡先、会計などに関する情報を含むデータ700GB分を、同機関から持ち出したと主張している。

米国

サムスン

2022年7月下旬に米国内の同社システムの一部が侵害され、データ流出が発生した。攻撃者は、氏名、連絡先情報、人口統計学的情報、生年月日、製品登録データといった顧客の個人情報にアクセスし、これらを持ち出した。

アイルランド

Higher Education Authority

Springboardのコースを受講した人の個人情報が流出した。流出したデータは2011年のもので、氏名、携帯電話番号、メールアドレス、教育課程が含まれている。影響を受けたのは、Gardaや刑務所サービスのメンバー、保健サービス委員会に勤務する人々など。（45,720）

パキスタン

輸出開発基金

同政府機関のWebサイトが最近、ブルートフォース攻撃の標的となった。攻撃者は、4GBを超えるデータを盗んだと報告されている。盗まれたデータには、16進数のパスワード、メールの記録と履歴、ファイルのほか、提案書、取引・請求情報などの秘密資料が含まれているとされる。

米国

サンフランシスコ・49ers

2022年2月6日から2月11日にかけてのBlackbyteランサムウェアの攻撃により、個人情報がアクセスを受けたり、盗まれたりしたことを、同チームが認めた。漏洩した情報には、氏名や社会保障番号が含まれる。（20,930）

米国

CorrectHealth

同医療機関は、2021年11月10日に職員のメールアカウントで不審な動きを確認した。2022年3月から7月の間に情報が流出した可能性がある。これには、氏名、住所、社会保障番号が含まれる。（54,000）

中国

TikTok、WeChat

AgainstTheWestは、両社を侵害し、レコード20億5,000万件を790GBのデータベース内に保持するサーバーへアクセスしたと主張した。データベースには、ユーザーデータ、プラットフォーム関連の統計、ソフトウェアコード、クッキー、認証トークン、サーバー情報などが含まれている。研究者はデータが本物であることを確かめたが、TikTokは侵害を否定している。

フランス

Orange Cyberdefense

2022年9月4日、氏名、Eメール、電話番号を含む、同セキュリティプロバイダーのものとされるデータが、人気フォーラム上の投稿に掲載された。同社は、Micro-SOCサービスの特定のフランス人顧客に関する情報がこのファイルに含まれていることを認めた。

マレーシア

マリンド・エア

2022年9月3日、顧客の個人情報を含むデータベースが、オンラインフォーラムで入手可能となった。データには、Eメールアドレスや住所、生年月日、パスポート番号、電話番号が含まれるとされている。このデータは、2019年に発生したデータ侵害に由来するもので、当時マリンド・エアはこの侵害について認めていた。（45,000,000）

米国

Savannah College of Art and Design

AvosLockerランサムウェアは2022年9月3日、同校をリークサイトに追加し、電話番号やメールアドレスなどのデータベースを盗んだと主張した。Databreaches[]netは、このグループが学生情報、人事ファイル、ビジネスデータを含む少なくとも69,000件のファイルを盗むことに成功したと判断した。

米国

Standard-Examiner

2022年9月5日、ユタ州の同朝刊誌のコンピューターネットワークがランサムウェア攻撃の標的になった。この攻撃は、有害Eメールを使って実行された可能性が高い。

米国

ロサンゼルス統一学区

同学区は、最近の技術的な問題が、2022年9月3日の週末に発生した同学区のITシステムに対するランサムウェア攻撃によるものであったことを認めた。どのランサムウェアが関与していたかはまだ不明。

インドネシア

中央総選挙委員会

あるハッカーが最近、おそらく同委員会から持ち出されたものであろう、国民に関する情報20GB分を含むとされるデータセットをBreachForumsに掲載した。このデータセットには、国民のIDカード番号、フルネーム、生年月日、その他の個人を特定できる情報が含まれていると報告されている。（105,000,000）

米国

ザ・ノース・フェイス

2022年7月26日から8月19日にかけて、大規模なクレデンシャルスタッフィング攻撃により、同社の公式サイトのアカウントがハッキングされた。フルネーム、購入履歴、請求先住所、配送先住所、電話番号など、顧客アカウント内の情報にハッカーがアクセスした可能性がある。（194,905）

オランダ

Bitvavo

このデジタルアセットプラットフォームに技術的な問題が発生し、ユーザーの個人情報がアプリとWebで表示される事態が発生した。この情報流出は、Bitvavoのキャッシュソリューションの設定ミスにより発生したもので、すぐに修正された。（8）

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

過去1週間にトレンドとなった、重要インフラ関連のマルウェア

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー

CodeRATと呼ばれる新しいリモートアクセス型トロイの木馬を利用した標的型攻撃を、SafeBreachの研究者が発見した。この攻撃は、Microsoft Dynamic Data Exchange（DDE）エクスプロイトを含むMicrosoft Wordドキュメントを使用して、ペルシャ語を話すコード開発者を標的にする。CodeRATは、政府とつながりのある脅威アクターによってインテリジェンスツールとして使用されていると考えられている。DDEエクスプロイトは、GitHubリポジトリからCodeRATをダウンロードする。このマルウェアの監視機能には50近くのコマンドが含まれており、Webメール、Microsoft Office文書、統合開発環境などを監視することができる。また、CodeRATは、Visual Studio、Python、PhpStorm、Verilogなどのツールの秘密ウィンドウの偵察も行う。

教育：教育部門を狙うランサムウェアアクターVice Societyについて、米当局が注意喚起

アクターVice Societyが教育分野を過度に狙ってランサムウェア攻撃を行っている様子が確認されたと警告する内容の共同サイバーセキュリティアドバイザリを、米国当局が発表した。これらの攻撃は、特に幼稚園から高校までの教育機関に影響を与えており、ネットワークやデータへのアクセスが制限されたり、試験が遅延したり、学校が休校になったり、個人情報の不正アクセスや窃取が行われたりする事態を引き起こしている。このアドバイザリでは、2022年9月時点の攻撃で観測されたVice SocietyのIoCや戦術、技術、手順が示されている。また、2022/2023年度が始まると、これらの攻撃は増加する可能性があるとの注意喚起がなされている。

関連記事：国内外における2021年のランサムウェア被害事例と企業が取るべき対策

銀行・金融

過去2年間にわたり、フランス語圏のアフリカ諸国において複数の大手金融サービスグループを標的としている悪質なキャンペーン「DangerousSavanna」を、Check Pointの研究者が調査した。ここ数か月、このキャンペーンはコートジボワールを重点的に狙っていた。同脅威アクターは、初期感染のために有害な添付ファイルを含むスピアフィッシングメールを使って従業員を標的にする。攻撃者は、標的となった企業の従業員を執拗に狙い、さまざまな種類の有害ファイルを使用する感染チェーンを絶え間なく変化させる。被害者の侵害が完了すると、このキャンペーンでは通常、Metasploit、PoshC2、DWservice、AsyncRATなど、比較的単純なソフトウェアツールがインストールされる。

政府：日本政府サイトにサイバー攻撃、親ロシア派グループKillnetが犯行声明

2022年9月6日、日本の4つの省庁の20のWebサイトがサイバー攻撃の標的になり、障害が発生した。親ロシア派グループKillnetがこの攻撃の犯行声明を出した。日本政府は現在、Killnetが関与していたかどうかや、障害がサービス拒否攻撃によるものかどうかについて調査中。日本の行政ポータルe-Govでは、2022年9月7日にも引き続き特定のサービスでログインに問題が発生した。その後、標的となった他のWebサイトの一部のサービスは復旧している。

重要インフラ

ウクライナをはじめ、エストニア、リトアニア、ノルウェー、ポーランドのWebサイトに対して分散型サービス拒否攻撃を行う親ロシア派のグループ「NoName057(16)」を、Avastの研究者が確認した。標的は、政府、通信社、軍隊、サプライヤー、電気通信関連企業、交通機関、金融機関など。NoName057(16)は、.NETマルウェア「Bobik」に感染したデバイスで構成されるボットネットを使用して攻撃を行う。研究者は、数千のBobikボットネットが存在しており、そのほとんどがブラジル、インド、東南アジアにあると推定している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。