Vice Societyが独自のランサムウェア・アズ・ア・サービス（RaaS）を準備している可能性

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Vice Societyが独自のランサムウェア・アズ・ア・サービス（RaaS）を準備している可能性

Vice Societyが独自のカスタムランサムウェアビルダーを開発し、より強固な暗号化方式を採用したことを、トレンドマイクロの研究者が突き止めた。このことは、同グループが独自のランサムウェア・アズ・ア・サービス（RaaS）の運用を準備している可能性があることを示唆している。Vice Societyは通常、教育業界や医療業界を中心に狙っているが、その後対象を拡大し、製造業も狙うようになっている。Vice Societyは、誰もがアクセス可能なWebサイトを悪用したり、漏洩したリモートデスクトッププロトコルの認証情報を悪用したりして、初期アクセスを達成する。同グループはCobalt Strike、Rubeus、Mimikatz、Kapeなどのツールを使用するほか、以前はZeppelinランサムウェアを展開していた。

米航空会社CommuteAirが誤ってサーバーを公開状態に、搭乗拒否リストなどが漏洩か

保護されていないサーバー上で、会社のデータと従業員約1,000人の個人情報が公開状態となった。公開状態となった従業員情報は、パスポート番号、住所、電話番号など。また、このサーバーには「NoFly」という名前のテキストファイルが含まれていた。これには、Terrorist Screening Databaseに登録されている、空路での移動を禁じられている人物の名前と生年月日が含まれていたものとみられる。

PayPalの顧客約3万5千人がクレデンシャルスタッフィングの標的に

2022年12月、顧客がクレデンシャルスタッフィング攻撃の標的となった。アカウントに保存されていたデータは、名前、生年月日、郵便物の宛先、社会保障番号、クレジットカードまたはデビットカードの情報など。（34,942）

2023年1月26日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Tモバイル

2022年11月25日頃、権限のない悪意のアクターがAPIを悪用し、顧客のアカウントデータにアクセスした。侵害されたデータには、氏名、請求先住所、メールアドレス、電話番号、生年月日、Tモバイルアカウント番号・情報など。（37,000,000）

米国

Yum! Brands

2023年1月18日、ランサムウェア攻撃により、同社は英国のレストラン最大300店舗を一時的に閉鎖せざるを得なくなった。顧客データが盗まれたという証拠はなかったが、同社はネットワークからデータが持ち出されたことを認めた。

コロンビア

Alkomprar Technology

詳細不明の侵害により、機器購入のためのローンを申し込んだ顧客のID番号、契約書、写真などのデータが流出した。（15,000）

フランス

National Office for Veterans and Victims of War

2022年12月に発生した、ロシアによるものとされるサイバー攻撃において、ハッカーが退役軍人の個人情報（電話番号など）を含む秘密文書に「接近」したと報じられている。

カナダ

Maple Ridge and Pitt Meadows School District

教員、生徒、職員の個人情報がハッカーフォーラム上で公開された。漏洩したデータは、姓名、学校と部門、メールアドレス、生徒の成績など。（19,126）

米国

Rundle Eye Care

患者（人数非公表）の氏名、生年月日、治療情報に、権限のない第三者がアクセスした可能性がある。

米国

Druid City Hospital Health System

権限のない病院職員が、氏名、住所、生年月日、社会保障番号、医療情報を含む記録にアクセスした。（2,530）

米国

St Rose Hospital

2022年11月18日頃、情報漏洩が発生した。氏名、社会保障番号、生年月日、メールアドレス、自宅住所が影響を受けたと報告されている。2022年12月、BianLianランサムウェアのオペレーターが同病院から盗まれたとされるデータをリークした。

英国

ケンブリッジ大学

学生の秘密データが9か月間、本人に知らされないまま、ケンブリッジ学生自治会の投票プラットフォーム上で選挙を運営する学生たちと共有されていたと報告されている。データに含まれるのは、学生のセクシュアリティ、性別、人種、障がいなど。

インド

政府

アプリ「Digital Infrastructure for Knowledge Sharing（Diksha）」のクラウドサーバーが、少なくとも1年間保護されないまま放置され、教師数百万人と生徒約60万の記録が公開状態となっていた。ファイルには、教師のフルネーム、電話番号、メールアドレスが含まれていた。生徒のEメールと電話番号は一部編集されていたが、フルネームや、生徒の研究と通っている学校に関する情報などにアクセス可能だった。（~1,600,000）

米国

Autotrader

脅威アクターIntelBrokerが、名前、メールアドレス、住所や、車のブランド、モデル、IDを含むとされるデータベースを宣伝した。Autotraderは、同社のシステムやデータへの不正アクセスの証拠はないと述べた。また、問題のデータは一般公開されていた古いリスティングデータに関するものだとも述べた。（1,400,000）

米国

Insulet Corporation

Webページの設定により、少数の個人情報がWebサイトのパフォーマンスとマーケティングに関するパートナーへと公開された。データには、顧客のIPアドレス、顧客がOmnipod DASHのユーザーであるかどうか、顧客がPersonal Diabetes Managerを持っているかどうかが含まれていた。（29,000）

米国

ミネソタ州福祉局（Department of Human Services）

同局の職員が請求明細書を住民にメールで送信した。そのデータには、氏名、住所、DHSが生成した請求口座番号、保護者負担金（parental fee）口座のアクティビティが含まれていた。住民は、受信した情報を破棄することに同意した。（4,307）

米国

ロードアイランド州保健局（Department of Health）

複数の職員が2022年7月から10月にかけて、個人情報を含むスプレッドシートへのハイパーリンクが記載されたEメールを送信した。このファイルには、氏名、住所、電話番号などが含まれていた。その後、同ファイルへのアクセスは制限されている。（8,800）

英国

Arnold Clark

PLAYランサムウェアのオペレーターが、2022年12月に発生したサイバー攻撃で盗まれたとされる秘密データを投稿した。個人および法人顧客のものとみられるこのデータには、住所、電話番号、国民保険番号、パスポートデータ、銀行明細書、自動車金融書類が含まれている。

米国

GoTo

2022年11月、脅威アクターが同社の開発環境に侵入し、バックアップを盗み出した。情報には、メール、電話番号、請求先住所、クレジットカード番号の下4桁、顧客アカウントに関する技術情報が含まれていた。

英国

Planet Ice

データ侵害インシデントで顧客データが盗まれた。これには、名前、住所、パスワードが含まれるが、金銭関連データは含まれない。（200,000）

チリ

Puma SE

ある脅威アクターが、同社が保有するとされる84MBのデータセットをハッカーフォーラムに掲載した。同フォーラムユーザーによると、このデータセットはPumaのチリのEコマースサイトを出どころとするものであり、名前、連絡先情報、請求先・配送先住所などの情報を含んでいるとのこと。（237,013）

米国

Livingston Memorial VNA Health Corporation

ランサムウェア攻撃とみられる事象において、権限のない者が消費者の秘密情報にアクセスした。

米国

Zacks Investment Research

2021年11月から2022年8月までのいずれかの時期に、脅威アクターが同社のネットワークにアクセスした。漏洩した可能性のあるデータは、1999年11月から2005年2月までの間に加入したZacks Elite製品顧客の名前、住所、電話番号、メールアドレス、ユーザーパスワードなど。（820,000）

NextGen Healthcare

同社は、ランサムウェアAlphVのリークサイトに追加された後、サイバー攻撃に対処中である旨を公表した。

米国

Fresh Del Monte

Alphvランサムウェアが同社を自らのデータリークサイトに追加した。

米国

PharmaCare Services

Alphvランサムウェアが同社を自らのデータリークサイトに追加した。

コスタリカ

公共事業・運輸省

同省の12台のサーバーがランサムウェアで暗号化された。この攻撃により一時的に特定のサービスが影響を受け、一部のサービスはネット上で利用できなくなった。

米国

Wawasee Community School Corporation

2023年1月20日、インディアナ州の同学区はランサムウェアの疑いがある攻撃についての警告を受けた。この攻撃により、すべてのWindowsベースのコンピューター、サーバー、およびその他の技術システムが影響を受けた。

米国

Circleville Municipal Court

同裁判所は2023年1月にランサムウェアLockBitのリークサイトに追加された。LockBitは身代金の支払い期限を2023年1月24日とした。同グループは、事件に関する情報を含む500GBのデータを盗んだと主張した。

米国

Mexico-Audrain County Library District

同図書館区が最近ランサムウェア攻撃を受け、いくつかのサービスの運営に支障が出た。その後、ほとんどのサービスが再開されたが、e-serviceモジュールの復旧はまだ完了していない。

不明

オランダ人ハッカーがオーストリアに住む人ほぼ全員のフルネーム、住所、生年月日を入手し、2020年5月にオンラインフォーラムでそのデータを売りに出していたことを、警察が明らかにした。このハッカーは、イタリア、コロンビア、オランダの同様のデータセットも売りに出していた。（~9,000,000）

米国

Transaction Record Analysis Center（TRAC）

米国市民と22か国との間で行われた送金数百万件のデータベースへ、米国の数百の法執行機関が裁判所の監視なしにアクセスできる状態になっていると、Ron Wyden上院議員が主張。このデータベースには、送金者と受取人のフルネームや送金額などの情報が含まれている。TRACのディレクターは、確認済みの漏洩や法執行機関による悪用例はないと主張した。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

小売

韓国と米国のeコマース業界を標的としたGuLoaderによる進行中のキャンペーンについて、Trellixの研究者が詳しく報告した。このマルウェアは、悪意あるEメール添付ファイルを介して拡散される。GuLoaderによってダウンロードされるペイロードは様々で、これにはAgentTesla、LokiBot、NanoCore RAT、NetWire RAT、またはその他のマルウェアが含まれる可能性がある。脅威アクターは当初、マクロを含むMicrosoft Wordドキュメントを含むZIP添付ファイルを使用していたが、2022年2月にNSIS実行ファイルの使用に切り替えた。

銀行・金融

バンキング型トロイの木馬Kronosがメキシコの金融機関の顧客を標的としているのを、IBMの研究者が2022年後半に確認した。このキャンペーンでは悪意あるChrome拡張機能が使用され、Webインジェクションによってユーザー名、パスワード、モバイルおよびワンタイムパスワードトークンを盗まれる。Kronosがこの種のWebインジェクション技術を使用していることが確認されたのは今回が初めて。このマルウェアは、密かに認証情報を盗み出し、盗んだ情報を、自らのセッションアクティビティに関する情報とともにC2サーバーに抽出する。

教育

中国のハッキンググループ「Cyber Security Team」が2023年1月22日、韓国の12の学術機関に対してサイバー攻撃を仕掛けたことを、韓国インターネット振興院（KISA）が明らかにした。これらには、済州大学校、韓国教員大学校、韓国建設政策研究院などの一部学科が含まれる。ハッカー自身は、旧正月の休暇期間前後に韓国の70の教育機関のコンピューターネットワークを侵害することに成功したと主張している。

政府

2023年1月25日、ロシアのハッカーグループKillnetが、政府機関、銀行、空港などドイツの複数のWebサイトに対する組織的な分散型サービス拒否（DDoS）キャンペーンを開始した。一部のWebサイトはアクセス不能のままだが、ドイツ連邦政府情報セキュリティ庁は、現在のところ、各サービスへの直接的な影響を示すものはないと述べた。今回の攻撃は、ドイツがウクライナに戦車や重火器を供与すると発表した直後に発生している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(20 – 26 January 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/