Threat Report

Silobreaker-WeeklyCyberDigest

トヨタのインド法人でインシデント発生、顧客情報が流出した可能性

山口 Tacos

2023.01.06

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

トヨタのインド法人でインシデント発生、顧客情報が流出した可能性

Twitterユーザーのメールアドレスを含むとされる流出データがハッキングフォーラム上で公開される

PyTorchで侵害、PyPIコードリポジトリに有害パッケージがアップロードされる

2023年1月5日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

ポルトガル

リスボン港

2022年12月25日、同港のWebサイトはサイバー攻撃を受け、予防措置としてサイトを停止した。その後、ランサムウェアLockBitのオペレーターが攻撃は自身によるものであると主張し、すべての財務報告書、顧客の個人データ、港湾文書、郵便のやり取りなどを取得したとされている。

カナダ

Copper Mountain Mining Corporation

同社は、2022年12月27日にランサムウェアの攻撃対象となったことを確認した。この攻撃は業務に影響を与えたものの、安全対策に支障は出なかった。感染したシステムは隔離され、予防措置として工場が停止され、他の工程は手作業に切り替えられた。

イタリア

Azienda Ospedaliera di Alessandria

2022年12月28日、ランサムウェアRagnar Lockerのオペレーターは、同病院の医療システムから顧客の個人情報、診察券、会計報告、診療科報告などのデータを盗んだと主張した。同グループは盗まれたデータ37GBを流出させたが、これは盗まれたデータの5%に過ぎないとしている。

マレーシア

複数

流出データとされるものに、Maybank、選挙管理委員会、Astroから盗まれたユーザーの個人データが含まれると報じられている。同データは、ダークウェブ上で脅威アクターによって公開されたと伝えられている。氏名やIDカード番号のほか、連絡先なども含まれているという。AstroとMaybankは、ともに流出を否定している。（13,000,000）

米国

Howard Memorial Hospital

同院は、2022年11月14日から12月4日の間に、不明のアクターによってファイルが盗まれた可能性があることを明らかにした。盗まれた可能性のある情報は、患者の氏名、連絡先、生年月日、社会保障番号、健康保険番号、医療記録番号など。

米国

トンボール市

2022年12月20日、テキサス州の同都市がランサムウェア攻撃の標的にされた。同インシデントにより、市のオンライン決済システムに影響が出たが、緊急サービスは引き続き使用可能だった。市長のDavid Esquivel氏は、公共事業の顧客のパスワードやクレジットカード情報が漏洩したかどうかは明らかにしなかった。

米国

Sargent & Lundy

シカゴを拠点とする同エンジニアリング会社は、2022年10月にランサムウェアBlack Bastaの攻撃の標的となった。ハッカーは、複数の電力会社のデータを盗んだと伝えられている。

米国

Lake Charles Memorial Health System

同医療システムは、2022年10月21日に確認されたランサムウェアHiveの攻撃の標的となった。影響を受けた情報には、患者の名前、住所、生年月日、患者識別番号の医療記録、支払い情報などが含まれる可能性がある。

インド

トヨタ・キルロスカ・モーター

同社のサービスプロバイダーの1社でインシデントが発生し、トヨタ・キルロスカ・モーターの一部の顧客の個人情報がインターネット上に流出した可能性がある。同社は、情報漏洩の規模や影響を受けた顧客の人数を公表していない。

米国

Wabtec

2022年3月15日にランサムウェアLockBitによる攻撃が発生し、2022年8月20日に盗まれたデータが公開された。漏洩した情報は、氏名、生年月日、米国以外の国民ID番号や社会保険番号または会計コード、パスポート番号、IPアドレス、NHS番号、社会保障番号、金融口座情報など。

スウェーデン

ボルボ・カーズ

脅威アクターIntelBrokerは、ランサムウェアEnduranceによる攻撃で同メーカーから盗まれたとされるデータを販売していると主張している。同データには、データベースアクセス、CICDアクセス、Atlassianアクセス、API、従業員リスト、キーおよびシステムファイルなどが含まれるとされている。

スペイン

Centro Médico Virgen De La Caridad

ランサムウェアHiveは、スペインの同医療機関をリークサイトに追加し、2022年12月21日にシステムを暗号化したとされる。リストにはデータが盗まれたことが記載されているが、現在データパックは提供されていない。

米国

Housing Authority of the City of Los Angeles（HACLA）

2022年12月31日、ランサムウェアLockBitのオペレーターは、盗まれたデータ15TBを所持していると主張した。現在アップロードされている情報には、HACLAの銀行明細書や、同グループが給与や監査などの機密データを所持している可能性を示唆するフォルダーのリストが含まれている。

米国

Monarch NC

同医療機関は、2022年8月29日に同社のシステムに対するランサムウェア攻撃を受け、データ侵害を公表した。Don#t_Leaksと名乗るグループは、2022年9月1日にMonarchをリークサイトに追加したが、掲示はすぐに削除された。（56,155）

ブラジル

Monte Cristalina S.A.

2022年12月19日、ランサムウェアLockBitは、データ135GBを盗んだと主張し、リークサイトに同社を追加した。脅威アクターは、証拠としていくつかのデータをアップロードした。

スペイン

Einatec

Snatch Teamのアクターらは、2022年12月28日に同社をリークサイトに追加した。同グループは、データ105GBを所有していると主張し、その証拠として3つのファイル画像を掲載している。

ベネズエラ

Cerveceria Regional

ランサムウェアPLAYは、2022年12月18日に同醸造所をリークサイトに追加し、2022年12月26日に同社から盗まれたとされるデータをダンプした。

アルゼンチン

Argentina de Soluciones Satelitales

2022年12月16日、ランサムウェアPLAYのアクターは、2022年12月2日の攻撃の犯行声明を出した。同アクターは2022年12月23日にデータを流出させ始めた。

米国

Retreat Behavioral Health

2022年7月1日にランサムウェア攻撃が発生し、攻撃者がデータセットにアクセスした可能性があることが判明した。漏洩した可能性のあるデータには、氏名、住所、社会保障番号のほか、場合によっては生年月日、医療・治療情報などが含まれる。

オーストラリア

クイーンズランド工科大学

2023年1月1日、ランサムウェアRoyalのオペレーターがサイバー攻撃の犯行声明を出した。その後、同アクターは、同大学から盗まれたとされるデータを流出させ始めた。同データには、人事ファイル、Eメールや手紙のやり取り、IDカードや書類、財務管理書類などが含まれており、同アクターによれば、これらは盗まれたデータの10％に相当するとのこと。

カナダ

Huron-Superior Catholic District School Board

2022年12月15日に発生したランサムウェアRoyalによる攻撃で、ファイルサーバーから「相当数のファイル」が盗まれた。データには、2019年から2022年の間に雇用された職員の社会保険番号や銀行情報などが含まれている。

米国

Twitter

2023年1月4日、脅威アクターがTwitterユーザーのメールアドレスを含むとされるデータリークをハッキングフォーラムBreached上で約2ドルで公開した。同データは、2022年11月に出回った4億件のセットと同じとされているが、重複を取り除くためにクリーンアップされたものとなっている。多くのメールアドレスの有効性はBleepingComputerによって確認されているが、今回の流出データにも重複が確認されている。（200,000,000）

Cricketsocial[.]com

同プラットフォームは、オープンなAmazon Web Servicesインスタンスにおいて、10万件以上のプライベートな顧客データと管理者認証情報を公開していた。データベースには、メールアドレス、電話番号、名前、ハッシュ化されたユーザーパスワード、生年月日、および住所が含まれている。また、Webサイト管理者アカウントの平文の認証情報も確認された。

インド

RailYatri

同鉄道チケットプラットフォームは、2022年12月28日にデータ侵害が発生し、権限のない個人がユーザー情報を閲覧した可能性があることを認めた。この情報には、3,000万件以上のユーザーレコードに関わる年齢、Eメール、希望都市、電話番号が含まれている。

米国

Five Guys

2022年9月17日、ファイルサーバー1台への不正アクセスが発生した。これらのファイルには、同ファーストフードチェーンの求人に応募した人々の個人を識別できる情報が含まれていた。個人名以外にどのようなデータがアクセスを受けた可能性があるかについては、まだ不明。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプ

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

現在ヨーロッパの金融セクター（特にスペイン語とポルトガル語圏の組織）をターゲットにしているRaspberry Robinの新バージョンを、Security Joesの研究者が確認した。この改良版では、実行メカニズムの変更、コードの難読化、および暗号化レイヤーの追加がなされ、アンチ解析機能が追加されている。実際の悪意あるコードが実行される前に、少なくとも5つの保護層が使用される。悪意あるコードは、メモリ内でのみ利用可能なx86シェルコードとしてコンパイルされる。

テクノロジー：PyTorchで侵害、PyPIコードリポジトリに有害パッケージがアップロードされる

2022年12月30日、PyTorchは、フレームワークの「torchtriton」ライブラリと同じ名前の悪意ある依存パッケージがPyPIコードリポジトリにアップロードされていたことを認知した。この依存パッケージは、pip経由でnightly版のPyTorch Linuxパッケージをインストールするユーザーに対して自動的にインストールされ、依存関係を混乱させる攻撃による侵害を成功させることにつながった。この悪意ある依存パッケージは、2,300回以上ダウンロードされている。この悪意あるパッケージは、基本的なフィンガープリント情報を得るために侵害されたシステムを調査し、秘密データを盗み出す。このキャンペーンに関与するアクターは、この活動は悪意あるものではなかったと主張している。

教育

セキュリティ研究者のWill Thomas氏が、進行中のフィッシングキャンペーンについて詳しく報告した。このキャンペーンでは、遅くとも2021年5月以降、英国の大学に在籍する中国語話者の学生が詐欺電話を使って狙われている。RedZeiと名付けられた脅威アクターが、中国銀行、チャイナモバイル、政府関係者のほか、Royal Mail、DHL、UPSなどの宅配業者を装い、ユーザーから個人情報を入手しようとしている。RedZeiは、英国の異なる携帯電話会社のSIMカードをかわるがわる使用し、詐欺電話を一定数かけるたびに新しい従量課金制の番号を使用する。

ヘルスケア

2022年12月31日、LockBitランサムウェアグループは、メンバーの1人が2022年12月18日にカナダの医療機関を攻撃して同グループの規則に違反したことを明らかにし、Hospital for Sick Children（SickKids）のための復号ツールを無料でリリースした。このランサムウェア攻撃は、内部および企業システム、病院の電話回線、およびWebサイトに影響を与えた。暗号化されたシステムはわずかだったが、SickKidsによると、検査結果や画像診断結果の受信に遅れが生じたほか、患者の待ち時間が長くなったとのこと。

暗号資産

暗号資産および同セクターの参入者に関連するセキュリティリスクについて、米国の複数の金融規制当局が銀行組織に対して警告を発した。これには、詐欺、成熟度と堅牢性の欠如、サイバー攻撃に関する脆弱性、機能停止、資産の紛失または閉じ込め、不正財務が含まれる。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。