アフラック、チューリッヒでデータ侵害 日本国内の保険加入者の情報が流出 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > アフラック、チューリッヒでデータ侵害 日本国内の保険加入者の情報が流出

Threat Report

Silobreaker-WeeklyCyberDigest

アフラック、チューリッヒでデータ侵害 日本国内の保険加入者の情報が流出

佐々山 Tacos

佐々山 Tacos

2023.01.13

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

アフラック、チューリッヒでデータ侵害 日本国内の保険加入者の情報が流出

アフラックジャパン

アフラックのがん保険商品の顧客の姓、年齢、性別、保険金などの個人データがネット上に流出した。このデータのサンプルは、有名なフォーラムでも発見された。(3,000,000)

チューリッヒ保険

攻撃者が、日本の顧客260万人以上分のデータを窃取した。これには、氏名、性別、生年月日、Eメールアドレス、保険契約番号などが含まれる。チューリッヒの広報担当者は、データ流出は外部のサービスプロバイダーから発生したと述べている。(2,600,000)

Rackspace、12月のサイバー攻撃にPlayランサムウェアが関与していたことを確認

Rackspaceは、同社ホストのMicrosoft Exchange環境をダウンさせた2022年12月の攻撃に、Playランサムウェアの運営者が関与していたことを確認した。攻撃者は、27人の顧客の個人用ストレージフォルダにアクセスした。これには、Eメール、カレンダーデータ、連絡先、タスクなどの情報が含まれる可能性がある。(27)

暗号資産のテーマを利用するMagecartスキマーが確認される(小売業界)

フレームワーク「Mr.SNIFFA」を使用してEコマースサイトを狙うスキマーを、Malwarebytesの研究者が確認した。このスキマーは、有害コードをロードし、盗まれたクレジットカードデータを抽出するために、ステガノグラフィに加えて様々な難読化技術を採用している。このキャンペーンでは、これまでMagecart攻撃では見られなかった、暗号資産をテーマにしたものが使用されている。スキマーは、Eコマースのチェックアウトページに支払いフォームを注入し、特殊な文字エンコーディングを使用して、盗まれたクレジットカードデータを画像ファイルとして抽出する。このキャンペーンで使用されたドメインは、DDoS-Guardのインフラストラクチャでホストされている。

 

2023年1月12日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

 

英国

複数校

Vice Societyは2022年に多数の英国の学校を標的にし、その後、盗んだとされるデータを公開している。被害者の中には、グロスタシャー州のPates Grammar School、Lampton School、Mossbourne Federation、ロンドンの東洋アフリカ研究学院が含まれている。

ルーマニア

Saint Gheorghe Recovery Hospital

同病院は2022年12月にランサムウェア攻撃の標的となり、現在も病院運営への影響が続いている。ハッカーは同病院のシステムへのアクセスを獲得したと伝えられている。

米国

University of Miami Health System

同大学職員の業務に関連するEメールアカウントへの侵害が行われた。一部の患者の名前と医療記録番号を含むEメールが、第三者のEメールアカウントに転送された。

米国

Maternal & Family Health Services

2021年8月21日から2022年4月4日の間に、ランサムウェア攻撃により、権限のない個人に秘密情報が流出した可能性がある。これには、氏名、住所、生年月日、社会保障番号、金融口座情報などが含まれる。

米国

Consulate Health Care

ランサムウェアHiveは、同医療機関をリークサイトに追加し、盗まれたとされるデータ550GBを流出させた。漏洩した可能性のあるデータは、Eメールアドレス、社会保障番号、電話番号など。

フランスおよびオランダ

エールフランスKLM

同社のフライング・ブルーの顧客のアカウントが侵害され、その個人情報が流出した。流出した可能性のある情報は、氏名、Eメールアドレス、電話番号、最新の取引履歴、獲得マイル残高などのフライング・ブルーの情報など。

米国

January 6th Committee

米国下院の同特別委員会で、2020年12月にホワイトハウスを訪問した個人の社会保障番号が流出した。これには、少なくともトランプ前大統領の閣僚3名、共和党の知事数名、多数のトランプ前大統領の支持者が含まれている。(2,000)

ベネズエラ

Telas Palo Grande

ランサムウェアグループBL00DYが、同繊維企業を攻撃したと主張した。同グループは、スクリーンショットやCSVファイルなど、主張の証拠とされるものを自らのTelegramチャンネルに掲載した。

コロンビア

Universidad De La Salle

ランサムウェアCL0Pは、自身のリークサイトに同大学を追加した。同アクターは主張の証拠として、盗まれたとされるパスポートと国際協定のコピーの画像を掲載した。

メキシコ

Grupo Estrategas EMM

ランサムウェアBlackCatのオペレータは、同企業を標的にしたと主張している。同グループは、まだ主張の証拠をアップロードしていない。

インド

ビジャヤワダ市の Controller of Communication Accounts

インドの同市のController of Communication Accounts(CCA)に属する一部のコンピューターシステムが、ランサムウェア攻撃の可能性があるものの被害を受けた。侵害されたシステム内の特定の基本データに影響があった。

米国

MedStar

同社は2022年10月20日前後にランサムウェア攻撃を受けた。侵害された情報には、氏名、生年月日、連絡先、治療情報などが含まれる可能性がある。(612,000)

米国

サンフランシスコ ベイエリア高速鉄道(BART)

ランサムウェアグループVice Societyは、2023年1月6日に同鉄道をデータリークサイトに追加した。同鉄道は現在、このグループの主張について調査を行っている。

米国

Captify Health

同社のオンライン小売サービスYour Patient Advisorに、2019年5月26日から2022年4月20日の間に悪質なコードが含まれていたことが判明した。患者の個人情報およびCVV番号を含む全決済カード情報が漏洩した可能性がある。(244,300)

米国

SAIF Corporation

権限のない個人が、2022年10月24日に同社の保険契約者のデータを含むアーカイブファイルを閲覧または取得できた可能性がある。流出した可能性のあるデータは、社会保障番号、運転免許証番号、金融口座番号、健康保険証券番号、病歴情報など。

米国

CyberOptics Corporation

グループSchoolBoysは、同社から窃取したデータ約650GBを保有していると主張している。同グループは、2022年11月に同社との交渉が決裂した後、データ20GB分をBreachForumに流出させたと報じられている。これには、秘密保持契約書(NDA)、アカウント名とパスワードが記載されたExcelファイル、運転免許証などが含まれる。

英国

Oxshag

2023年1月7日、出会い系アプリを名乗るWebサイトが、現在オックスフォード大学のメールアドレスを持つすべての人の氏名と大学のリストを公開した。この情報漏洩は、学生に限らず、チューター、守衛、学生課などにも及んでいる。

フランス

CAF

同社会保障機関は、ジロンド県の補助金受給者の秘密・個人データをサービスプロバイダーに送信した。その後、サービスプロバイダーは2021年3月、そのファイルを平文でWebサイトに掲載した。公開されたデータには、住所、生年月日、世帯構成と収入、受給額と種類などが含まれる。(10,204)

米国

米国公認会計士協会

人気のあるハッキングフォーラム上で、脅威アクターがユーザーのログイン情報を含むデータベースを取得したと主張。その証拠としてデータのサンプルがリークされた。(140,000)

オーストラリア

政府

オーストラリア政府機関のログイン情報10万人以上分が、ダークウェブフォーラムで発見されたとされている。同データは、ユーザー名とパスワード1,400万件以上から成るデータベースの一部とのこと。データの大部分は検証されていない。

英国

ガーディアン

同紙は、2022年12月20日にランサムウェア攻撃を受けたことを確認した。この攻撃では、同紙のネットワークの一部に第三者が不正にアクセスしていた。攻撃者は、英国の従業員の個人情報にアクセスした。

米国

エクスペリアン

身元情報窃取犯らが、同消費者信用調査機関のWebサイトのセキュリティ上の弱点を悪用して、他の人々の信用情報を閲覧した。エクスペリアンのWebサイトでは、ユーザーがセキュリティ質問を回避して、あらゆる人の信用情報を閲覧することができるようになっていた。この脆弱性を悪用するためには、攻撃者は標的となる人物の名前、住所、誕生日、社会保障番号を持っていないければならない。エクスペリアンはその後、この問題を解決した。

オーストラリア

Fire Rescue Victoria

2023年1月12日、ランサムウェアグループVice Societyが、2022年12月に発生した、広範囲なIT障害の原因となった攻撃の犯行声明を出した。また、Vice Societyは証拠としてサンプルデータセットを公開した。フルネーム、住所、メールアドレス、電話番号、保健情報、犯罪歴など、現在および過去の職員や就職希望者の個人情報が流出した可能性がある。

米国

ODIN Intelligence

数十の警察署で使用されているSweepWizardというアプリから、複数年(おそらく2011年以降)にわたる警察による手入れに関する数百件の秘密情報が流出した。流出したデータには、警察官数百人と容疑者数千人の個人を識別できる情報が含まれていた。これには、容疑者の自宅の地理的座標、手入れの時間と場所、人口統計情報と連絡先情報、社会保障番号などが含まれる。(>5,770)

ギリシャ

Trustanduse[.]com

2022年6月21日に初めて発見された、誰もがアクセス可能なデータベースで、少なくとも6か月間、855GB分のユーザーおよび企業の秘密データが公開状態になっていた。公開状態だったデータには、ユーザー名、フルネーム、Facebook ID、電話番号、ハッシュ化されたパスワードが含まれる。その後、データベースは保護されている。(439,000)

米国

SB Tactical

2022年9月19日から12月13日にかけて、顧客データが流出する侵害が発生した。漏洩したデータには、氏名、住所、クレジットカードの全詳細が含まれる。

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

過去1週間にトレンドとなった、重要インフラ関連のマルウェア

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

銀行・金融

サイバー犯罪グループBluebottleが少なくとも2022年7月から2022年9月までアフリカのフランス語圏の国々の銀行に対して攻撃を行っていたことを、シマンテックの研究者が観測した。このキャンペーンは、Group-IBによって報告された、2019年半ばから2021年にかけてのOPERA1ERの活動と地続きであるものと思われる。このグループは、環境寄生型攻撃、デュアルユースツール、コモディティマルウェアを広範に利用し、カスタムマルウェアは展開しない。最近の活動では新たな戦術、技術、手順が観測されており、その例として、ISOファイルが初期感染ベクターとして使用された可能性があることを示す兆候や、攻撃の初期段階でのコモディティマルウェアGuLoaderの使用などが確認されている。

テクノロジー

KeRanger、FileCoder、MacRansom、EvilQuestなど、macOSデバイスに影響を与える既知のランサムウェアファミリーを、マイクロソフトの研究者が分析した。Macを狙うランサムウェアは、通常、偽のアプリケーションやトロイの木馬のダウンロード・実行など、ユーザーの手を借りる初期アクセス手法を使用するが、第2段階のペイロードドロッパーとして展開されたり、他のマルウェアやサプライチェーン攻撃の一部によってダウンロードされたりすることもある。起動されたランサムウェアによる攻撃は、通常、アクセスの獲得、実行、ターゲットユーザーのファイルの暗号化、身代金要求メッセージの通知から構成される。これらの行為を行うために、マルウェアの作成者は、正規の機能を悪用するほか、脆弱性を悪用したり、防御を回避したり、ユーザーのデバイスを感染させたりするための様々な技術を考案している。

暗号資産

ロシアのハッカーグループCold Riverが、2022年8月から9月にかけて米国内の3つの原子力研究所を標的にしていたことを、ロイターが報じた。標的になったのは、ブルックヘブン国立研究所、アルゴンヌ国立研究所、ローレンス・リバモア国立研究所。ハッカーは各施設の偽のログインページを作成し、原子力研究者にメールを送り、パスワードを取得しようとした。侵入の試みが成功したかどうかは、まだ確認されていない。

ヘルスケア

オーストラリアのヘルスケア業界の組織を狙った最近の一連の攻撃において、Gootkitローダーが再浮上していることを、トレンドマイクロの研究者が確認した。これは、法務部門を狙ってきた同グループの標的対象が拡大していることを示している。調査されたサンプルは、初期アクセスのためにSEO(検索エンジン最適化)ポイズニングを活用し、オーストラリアの都市名とペアになった業界関連のキーワードをターゲットにしている。偽サイトには、JSファイルを含む有害ZIPをダウンロードするためのリンクが含まれており、このリンクは、持続性を維持するためのスケジュールタスクを作成する目的で使用される。また、高度に難読化された2つ目のJSファイルが実行され、C2アクセスを確立するためのPowerShellスクリプトが起動される。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(06 – 12 January 2023) )

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ