Threat Report

Silobreaker-WeeklyCyberDigest

米中間選挙に関連し、分断煽るようなメッセージを配布する活動をロシアのアクターが実施

山口 Tacos

2022.11.11

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

セキュリティツール「urlscan[.]io」で、機密性の高いURLが公開・検索可能状態に

ランサムウェアLockBit、自動車部品大手Continentalを攻撃

2022年11月10日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

ドイツ

Continental AG

ランサムウェア「LockBit」のオペレーターが、同自動車部品メーカーをハッキングしたと主張。同グループは、盗まれたとされるデータを自らのTorリークサイト上で公開すると脅している。その後、Continentalは2022年8月の攻撃でデータが盗まれたことを認めた。

米国

Convergent Outsourcing Inc

2022年6月17日に同社はランサムウェア攻撃を受け、顧客の個人情報が流出した。これには、氏名、連絡先、金融口座番号、社会保障番号などが含まれる。

英国

アストラゼネカ

同製薬大手は、誤って慎重に扱うべき患者データを1年以上にわたって外部からアクセスできる状態にしていた。2021年に開発者が社内サーバーの認証情報をGitHubに残したことが原因。この認証情報により、患者データが入ったSalesforceのテスト用クラウド環境へのアクセスが可能になった。

マレーシア

UOB KayHian

DESORDEN GROUPは、2022年10月に15万9,807件の顧客記録を盗んだとして、同証券会社をリークサイトに追加した。記録には、フルネーム、性別、生年月日、IC番号、パスポート、ユーザー名とパスワード、メールアドレスなどが含まれているという。

イタリア

Landi Renzo SpA

2022年11月3日、Hiveランサムウェアはイタリアの同企業をリークサイトに追加した。同アクターは証拠のサンプルデータを公開しなかったが、抜き取られたファイル534GB分とされるものへのアクセスをDataBreaches[.]netに提供した。このデータには、専有情報、従業員やベンダーの個人情報が含まれている。

米国

Kearney & Company

LockBitランサムウェアは2022年11月5日、米連邦政府にサービスを提供する同有名会計事務所をリークサイトに追加した。公開されたデータサンプルには、財務文書、契約書、監査報告書、請求書類などが含まれる。

オーストラリア

BWX

同社子会社のFlora & FaunaのWebサイトに、有害コードが不正に挿入された。これにより、2022年8月13日から9月29日の間に、顧客のクレジットカードの番号と有効期限が権限のない第三者へ送信された可能性がある。（2,500）

インド

Take Solutions Ltd

同社は2022年11月3日、サードパーティーのクラウドサービスプロバイダーでホスティングしている統合基幹業務システムがランサムウェア攻撃を受けたことを公表した。一部フォルダが暗号化され、同社で行われている決算監査に影響が及んだ。

オーストラリア

PNORS Technology Group

このIT企業でサイバーインシデントが発生し、同社の2つの事業であるDatatimeとNetwayに影響を与えるデータ侵害が発生した。その結果、生徒数千人とその家族の個人情報（医療情報、人口統計や発達・行動上の問題に関連する情報など）が盗まれた可能性がある。

オーストラリア

Kilvington Grammar School

2022年10月14日、ランサムウェアグループ「LockBit」が、オーストラリアの同教育機関から盗まれたとされるデータを投稿した。同校は、オンラインシステムの一部への不正アクセスを伴うデータ侵害に遭ったことを認めた。

米国

Norman Public Schools

同学区は2022年11月4日、学区内のネットワークがランサムウェア攻撃を受けていることを公表した。同学区は、これにより大きな混乱が発生すると予想している。ユーザーは、学区が支給したデバイスの使用を中止するよう忠告を受けた。

アイルランド

保健サービス委員会（HSE）

同政府機関に対する2021年のサイバー攻撃で、個人情報が盗まれた可能性がある。影響を受けた個人の大半において、流出したデータはさほど取り扱いに注意を要するものではない。他方で、一部の個人においては、より取り扱いに注意すべき情報が漏洩したと報告されている。（>100,000）

サウジアラビア

Smart Link BPO Solutions

脅威グループ「Justice Blade」は、同ITベンダーから盗まれたとされるデータを公開した。同グループは、CRMレコード、個人情報、メール通信、契約書、アカウント認証情報を盗んだと主張している。また、地域内のさまざまな国の間で行われているリモートデスクトッププロトコルセッションやOffice 365による通信のスクリーンショットのほか、複数のユーザーリストを公開した。

スペイン

Orange Spain

同社の債権回収業者でセキュリティインシデントが発生し、Orangeの一部の顧客の慎重に扱うべき情報が流出した。これには、氏名、姓、住所、電話番号、Eメール、DNI/NIE番号、IBANなどが含まれる。

オランダ

Dutch Land Registry

2022年9月18日から10月11日にかけて、同局がデータ侵害に遭い、保護対象の住所の閲覧およびアクセスが可能になった。

オランダ

Eindhoven University of Technology

2022年9月17日、同校のキャンパスカードを提供するID-Ware社がBlackCatランサムウェアの攻撃を受けた。このインシデントにより、氏名、住所、キャンパスパス番号など、大学のパス所有者の一部の情報が漏洩した。（23,846）

URLScan

セキュリティツール「urlscan[.]io」が、機密性の高いURLを公開し、検索可能な状態にしていた。これらのURLは、共有ドキュメント、パスワードリセットページ、チームへの招待、支払い請求書などへとつながっている。

オーストラリア

Medibank

2022年11月9日、同健康保険会社が身代金の支払いを拒否した後、ハッカーらは、同社から最近盗まれた顧客の慎重に扱うべき医療記録をリークし始めた。記録には、氏名、生年月日、パスポート番号、医療請求に関する情報が含まれる。（9,700,000）

米国

Lodi Unified School District

2022年9月21日頃、権限のないアクターが、同学区のサードパーティー製学生記録管理アプリケーション「Aeries」にアクセスした。アクターは、Aeriesアプリケーション内の特定の情報（姓名、医療情報など）にアクセスした。

米国

複数の麻酔科診療所

2022年10月に初めて報告された、名称不明の医療管理会社での「データセキュリティインシデント」に、米国内の少なくとも10の麻酔科診療所が追加された。漏洩したデータには、氏名、社会保障番号、生年月日、運転免許証、金融口座情報などが含まれる。（55,029）

米国

Baton Rouge General

2022年6月24日から6月29日の間にネットワークへのハッキングが発生し、患者データが侵害された。流出した可能性のあるデータは、氏名、社会保障番号、生年月日、金融口座データ、州ID番号など。

米国

Salud Family Health

2022年9月5日に特定のコンピューターシステムがハッキングされ、患者および職員のデータがアクセスを受けた。盗まれたデータには、氏名、社会保障番号、運転免許証番号またはコロラド州身分証明書番号、金融口座情報、パスポート番号などが含まれている。

米国

Legacy Post Acute Care

2022年1月19日から3月3日にかけて、複数の職員のメールアカウントがハッキングされ、患者の個人情報が漏洩した。

銀行・金融に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のマルウェアを示しています。

過去1週間にトレンドとなった、銀行・金融関連のマルウェア

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

2018年から2022年にかけて銀行、金融サービス、電気通信関連企業に対して30件以上の攻撃を成功させた、フランス語話者脅威アクター「OPERA1ER」を、Group-IBとOrange CERT-CCの研究者が発見した。OPERA1ERはこの期間に、主にアフリカに所在する標的から少なくとも1,100万ドルを窃取したことが確認されている。同グループは、リモートアクセス型トロイの木馬やその他のツールを配布する、かなり標的を絞ったスピアフィッシングメールを利用し、ユーザーの認証情報を収集する。盗まれた認証情報は、ドメインコントローラーの管理者権限を得るために使用され、最終的には銀行インフラを利用した顧客口座からミュール口座への不正送金が行われる。

政府：米中間選挙に関連し、分断煽るようなメッセージを配布する活動をロシアのアクターが実施

米国中間選挙に関連して、ロシア人と思われるアクターらが米国の極右の聴衆を標的とし、分断を煽るようなメッセージを配布する新たな取り組みに携わっているのを、Graphikaの研究者が観測した。これらのアクターの活動は、2020年の米国選挙を標的とした「愛国者を装う」キャンペーンの時のフェーズと一致している。メッセージには、ペンシルバニア州、ジョージア州、ニューヨーク州、オハイオ州の民主党候補への支持を弱めようとする内容のものが含まれている。その他、デリケートな文化的・政治的問題に関する扇動的なメッセージ、バイデン大統領への批判、およびウクライナ戦争に関連する親ロシア的なストーリーも宣伝されている。2022年11月8日には、中間選挙のさなか、一部の州のWebサイトが分散型サービス拒否攻撃を受けた。影響を受けた州は、イリノイ州とミシシッピ州など。その後、影響を受けたWebサイトは復旧し、投開票への脅威はなかったと考えられる。

関連記事：サイバー脅威活動と民主主義プロセス

ヘルスケア

米国保健福祉省のOffice of Information Securityは、イランのハッカーグループからサイバー脅威が及ぼされる可能性があることについて、米国のヘルスケア部門に警告を発した。アクターには、Charming Kitten、Static Kitten、Pioneer Kitten、Remix Kitten、Helix Kitten、Refined Kitten、Magic Kitten、Infy、およびUNC3890が含まれる。これらのグループは、Webサイトの改ざん、マルウェアの配布、個人情報の窃取、スピアフィッシング、分散型サービス拒否攻撃など、さまざまな破壊活動を行っていることが知られている。また、ワイパーマルウェアの展開や報復攻撃、ソーシャルメディアによるオペレーションも行っている。

テクノロジー

高度持続的脅威集団「UNC4034」による、Amazonの求職情報の話題を使用した一連の標的型攻撃についてMandiantが最近発見したのに続き、VirusTotalの研究者は、同じ活動に関連すると高い確度で考えられる事例を追加で発見した。これらの新たに観測された事例では、DellとIBMが標的となっている。6件の有害ISOファイルが発見され、そのうちのいくつかは、TightVNC Viewer、PuTTY、およびKiTTY（KiTTYはPuTTYのフォーク）といったリモートクライアントツールを含んでいた。また、攻撃者のIPの一部も発見された。

重要インフラ

デンマークの鉄道事業者DSBは、2022年10月29日から10月30日にかけて発生した同国の鉄道ネットワークの障害の原因が、IT下請け会社Supeoのソフトウェアテスト環境に対するサイバー攻撃だったことを明らかにした。その後、Supeoはサーバーを停止したが、これにより列車の運転手らは数時間にわたって列車を運行できなくなった。DSBのセキュリティ責任者であるCarsten Dam Sonderbo-Jacobsen氏は、この攻撃はインフラを狙ったものではなく、金銭がらみの犯罪であると述べた。この攻撃に関与した人物については依然として不明。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。