大規模データ漏洩につながったTwitter APIの脆弱性を、脅威アクターがさらに悪用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 大規模データ漏洩につながったTwitter APIの脆弱性を、脅威アクターがさらに悪用

Threat Report

Silobreaker-WeeklyCyberDigest

大規模データ漏洩につながったTwitter APIの脆弱性を、脅威アクターがさらに悪用

山口 Tacos

山口 Tacos

2022.12.02

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

大規模データ漏洩につながったTwitter APIの脆弱性を、脅威アクターがさらに悪用

WhatsAppユーザー4億8,700万人の電話番号のデータベースをハッカーが宣伝」、との報道

アカウントの不正作成を行う偽Androidアプリ「Symoo」が見つかる

 

2022年12月1日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

Norman Public Schools

Hiveランサムウェアの運営者は、同学区が身代金の要求を拒否した後、生徒と職員のデータのリークを開始した。同学区は、生徒の名前と社会保障番号だけでなく、職員の名前、住所、社会保障番号、金融口座情報にも影響が及んでいる可能性があると述べている。Hiveは、311GB以上のデータを保有していると主張しており、その中には、バックアップ、契約書、民間企業の情報なども含まれているとのこと。

米国

South Walton Fire District

同公共サービス提供者は、権限のない個人が同区のコンピューターネットワークにアクセスした後、ランサムウェア攻撃を受けた。この攻撃により、氏名、住所、社会保障番号、生年月日、治療日など、保護対象の患者情報が影響を受けた可能性がある。

米国

バージニア州、サウサンプトン郡

同郡は2022年9月6日にランサムウェアの攻撃を受けた。LockBit 3.0は以前、データリークサイトに同郡を追加した。氏名、社会保障番号、運転免許証番号、住所などが流出した可能性がある。

米国

Meta

ハッカーがWhatsAppのアクティブユーザーの携帯電話番号のデータベースを宣伝していると報じられている。Cybernewsがサンプルデータセットを調査したところ、すべての番号がWhatsAppのユーザーであることが確認された。Metaの広報担当者は、この報道を「憶測に過ぎない」と断じ、同社はデータ流出の証拠を確認していないとしている。(487,000,000)

米国

Twitter

ユーザー540万人に影響を与えたデータ漏洩につながったTwitter APIの脆弱性を、脅威アクターがさらに悪用したと報告されている。Twitterの異なるユーザーデータを含むさらなるデータダンプが発見され、これにはレコード1,700万件が含まれているとのこと。

ベルギー

Zwijndrecht Police

ランサムウェアグループRagnar Lockerは、2006年から2022年9月の多数のファイルを流出させた。これには、車のナンバープレート、罰金、犯罪報告ファイル、人事情報、捜査報告書、カメラ映像などが含まれているとのこと。同警察によると、ハッカーがアクセスしたのは管理ネットワーク上のデータのみで、同攻撃は主に職員に影響するとのこと。

米国

Tridas Group LLC

パスワードで保護されていないオープンなデータベースから、子どものメンタルヘルス診断の詳細や、氏名、生年月日、患者ID番号、自宅住所など、16,000件以上のレコードが流出した。その後、一般からのアクセスは無効となった。

インド

Bahmni

OpenMRSデータベースから、インドのチャッティースガル州に居住する個人の医療情報が流出した。医療従事者やスタッフのハッシュ化されたパスワードも流出した。同流出は、2022年9月21日に終了した。(197,497)

オーストラリア

不明

名称不明の医療機関が現在、呼吸器系の臨床試験に参加した個人の保護対象保健情報を流出させている。合計80GBのデータには、人口統計学的情報や関連する病歴が含まれる医療ファイルが含まれる。

カナダ

Coinsquare

許可されていない第三者が顧客データベースにアクセスし、顧客名、Eメールアドレス、居住地、電話番号などが流出した。

カナダ

Sonder Holdings

2021年10月1日以前に作成された宿泊者情報への不正アクセスが発覚した。流出した可能性のある情報は、ユーザー名、暗号化されたパスワード、クレジットカード情報など。一部の宿泊客については、運転免許証やパスポートなど、政府発行の身分証明書のコピーがアクセスされた可能性がある。

米国

Cincinnati State Technical and Community College

Vice Societyは、ランサムウェア攻撃によって同大学から窃取したとするデータのリークを開始した。同大学は以前、2022年11月上旬に発生したサイバーセキュリティインシデントを調査していることを明らかにしていた。

カナダ

ハリー・ローゼン

この紳士服の小売業者は、2022年10月9日に同社のシステムに対するサイバー攻撃を確認した。ランサムウェアグループBianLianは以前、リークサイトに同社を掲載し、ハリー・ローゼンのGold+顧客、販売情報、その他様々な種類の文書を含むとされる1GBのファイルを証拠として添付していた。

米国

GameStop

GameStopの顧客は、アカウントを更新した際に、名前、住所、電話番号、クレジットカード情報の一部など、他のユーザーのデータが表示されたことを報告している。また、一部のユーザーは、自分のデータが流出したことを知らせる電話を受けたと報告している。同社は、表示されたデータは同社が作成したテストデータであるとして、顧客データの流出を否定している。

スウェーデン

IKEA

ランサムウェアグループVice Societyは、盗まれたとされるデータとともに、IKEA MoroccoとIKEA Kuwaitを流出サイトに追加した。盗まれたファイルの名前から、グループはIKEA Jordanのデータも持ち出した可能性があり、ビジネスの秘密情報やパスポートなどの従業員の秘密データも持ち出した可能性があることがわかる。

米国

Hope Health Systems

同ヘルスケア企業は、ランサムウェアの攻撃を受けて、ネットワークに保存されていた秘密情報が流出し、データ流出が発生したと報告している。2022年6月10日、許可されていない第三者が同社のコンピューターネットワークに初めてアクセスした。漏洩した情報は、氏名、住所、生年月日、社会保障番号、運転免許証番号など。

米国

Connexin Software Inc

2022年8月26日、権限のない個人が社内のコンピューターネットワークに侵入し、オフラインの患者情報一式にアクセスし、これを持ち出した。漏洩した可能性のある患者様情報は、氏名、保護者氏名、住所、メールアドレス、生年月日、社会保障番号、健康保険情報など。(2,216,365)

コロンビア

Keralty

同組織は、2022年11月27日にランサムウェアRansomHouseによる攻撃の標的となり、3TBのデータが抜き取られたとされている。同攻撃により、同社とその子会社であるColsanitas、Sanitas USA、EPS SanitasのWebサイトと業務に支障が出た。

米国

One Brooklyn Health System

Interfaith Medical Center、Brookdale Hospital Medical Center、Kingsbrook Jewish Medical Centerの一部のシステムが、2022年11月19日にサイバーセキュリティインシデントによりネットワークに障害が発生し、オフラインとなった。混乱が生じた正確な原因は、ランサムウェアが関与していた可能性があるが、依然として不明。同インシデントにより、3病院の電子カルテ、患者ポータル、その他のシステムに影響が及んでいる。

米国

米国移民・関税執行局(ICE)

ICEは2022年11月28日、亡命を求める移民の氏名、生年月日、国籍、収容場所などを誤ってWebサイトに掲載した。(6,252)

米国

LastPass

GoToは、ハッカーが同社の開発環境とサードパーティのクラウドストレージにアクセスするというセキュリティ侵害に遭った。影響を受けたストレージはLastPassとも共有されており、LastPassによると、未知のハッカーが、2022年8月のセキュリティインシデントで盗まれた情報を使って、同社のクラウドストレージに侵入したとのこと。ハッカーは、これらの侵害されたストレージデバイスに保存されている顧客データへのアクセスに成功した。

グアテマラ

外務省

同省は、今年初めに発生したランサムウェア攻撃について調査中であることを明らかにした。同省は、2022年9月27日にランサムウェアグループOnyxのリークサイトに追加され、同年11月21日にも再び追加されていた。

フランス

アルプ=マリティーム県

ランサムウェアPlayのオペレーターが、2022年11月10日に発生したサイバー攻撃で同県の管理部門から盗まれたとされるデータ13GB分をリークした。ランサムウェアグループPlayは、合計290GB分のデータを盗み出したと主張した。データのスクリーンショットには、同グループが給与や在宅勤務、新型コロナウイルスなどに関わる情報にアクセスしたことが示されている。

英国

South Staffordshire PLC

同社は、2022年8月に発生したサイバー攻撃により、顧客データが流出したことを明らかにした。Clopランサムウェアのオペレーターが、以前、この攻撃の犯行声明を出していた。アクセスされ、ダークウェブ上でリークされた可能性のある情報は、氏名のほか、口座引き落としのソートコードや口座番号など。

英国

SSP

このソフトウェア会社は、2022年11月15日にランサムウェアLockbitによる攻撃で標的となり、社内のネットワークやシステムが影響を受けた。Lockbitは700万ドルの身代金を要求したとされている。同社は、このインシデントについて認めている。

 

政府に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連の脅威アクターを示しています。

過去1週間にトレンドとなった、政府関連の脅威アクター

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

小売

ギフトカード攻撃でユーザーを狙うビジネスメール詐欺(BEC)グループLilac Wolverineの活動について、Abnormal Securityの研究者が詳しく報告した。Lilac Wolverineの攻撃量は膨大で、極度にナイジェリアに集中している。このグループは、標的のEメールアカウントを侵害すると、そっくりなアカウントを設定して、被害者の連絡先リスト内の全員をターゲットに大規模なEメールキャンペーンを送信する。連絡が成立すると、攻撃者は最終的に友人や親戚向けのギフトカードを購入するための支援を要請する。

銀行・金融

リワードアプリを装ったフィッシングページを介して拡散されている新しいAndroid向けバンキング型トロイの木馬を、Technisanctの研究者が発見した。ダウンロードされるこの悪質なアプリは、Reliance Jio Towerのモバイルアプリケーションを装っている。このマルウェアは、SMSメッセージ、個人を識別できる情報、Aadhaar番号およびPANカード番号、銀行カードの詳細、および感染したデバイスに送信されるワンタイムパスワードを盗み出すことができる。また、同マルウェアは、カメラへのアクセス、位置情報、連絡先や通話ログへのアクセスなど、10の権限を要求し、そのうち4つの権限を悪用する。

政府

親ロシア派のハッカーグループKillnetが最近、Starlink社や米国ホワイトハウスの公式サイトなど、多数のWebサイトに対する分散型サービス拒否(DDoS)攻撃の犯行声明を出した。この攻撃には、Msidstress、Radis、Anonymous Russia、Mirai、Halvaといった他のハッカーグループも関与していたと報じられている。Killnetはまた、英国のウクライナ支援に対抗し、プリンス・オブ・ウェールズのWebサイトを標的にしたとも主張した。さらに同グループは、英国の医療機関や政府のサイトのほか、ロンドン証券取引所、英国軍、銀行自動清算システムが今後のDDoS攻撃のターゲットになるだろうとも主張した。

暗号資産

CashRewindoによる、2018年頃から行われているマルバタイジングキャンペーンの詳細を、Confiantの研究者が詳しく報告した。このキャンペーンでは複数のリダイレクトが用いられ、最終的に被害者を偽の暗号資産プラットフォームに誘導し、そこで入金を促す。脅威アクターは、検知を回避し続けるため、プレースホルダー広告と詐欺広告を使い分ける。また、この脅威アクターは、ドメインエイジングを利用して、自分たちのサイトを正規のものに見せかける。CashRewindoのドメインの大半は、2〜3年前に登録され、最近になって、進行中の各キャンペーンのために有効化された。

テクノロジー:アカウントの不正作成を行う偽Androidアプリ「Symoo」が見つかる

マイクロソフト、Google、Instagram、Telegram、Facebookなどのサイトのアカウント作成サービスのSMSリレーとして密かに機能する「Symoo」という名前の偽のAndroid SMSアプリケーションを、Evinaの研究者が発見した。同アプリは、Google Playストアで10万回ダウンロードされている。このアプリは、インストールされるとSMSメッセージの送信と読み取りを要求し、その後、偽のローディング画面が中継される。これにより、攻撃者は新しいアカウントを作るための複数のワンタイムパスワードを送信したり盗んだりすることができるようになる。その後、これらのアカウントは、さまざまなサイバー犯罪に利用する目的で他の脅威アクターに貸し出される可能性がある。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(25 November – 01 December 2022)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ