2022年にT-モバイル狙ったSIMスワッピング攻撃が100件超発生、3つのサイバー犯罪グループが関与か

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

2022年にT-モバイル狙ったSIMスワッピング攻撃が100件超発生、3つのサイバー犯罪グループが関与か（テクノロジー）

3つの異なるサイバー犯罪グループが、2022年を通じて100件以上の別々のインシデントでT-モバイルの内部ネットワークへアクセスしたと主張していることがTelegramのデータから示されていると、KrebsOnSecurityが明らかにした。いずれのグループも、従業員へのフィッシングを実施してSIMスワッピング攻撃を行うことでアクセス権を得たと主張した。2022年後半の7か月半で、3つのグループがT-モバイルへのSIMスワッピングの犯行声明を出した日は合計で104日あったが、多くの場合、同じ日に複数のグループがアクセスした旨を主張していた。これらのアクターは、AT&TやVerizonを含む他のプロバイダーに関するSIMスワッピングも定期的に行っている。T-モバイルは、侵入の主張を確認も否定もしなかった。

ペイメントカード200万枚分超の情報がダークネットマーケットで公開される

ダークネット・マーケットプレイスBidenCashの運営者が、運営1年を記念してクレジットカードとデビットカード2,165,700枚分のデータセットを公開した。漏洩したデータには、氏名、メール、電話番号、住所のほか、ペイメントカード番号、有効期限、CVVコードが含まれる。

フォルダの設定ミスによりスタンフォード大学のデータがダウンロード可能な状態に（米国）

フォルダの設定ミスにより、同大学のWebサイトからのデータのダウンロードが可能な状態となった。漏洩したデータは、氏名、生年月日、自宅住所および郵送先住所、電話番号、メールアドレスなど。その後、同ファイルへのアクセスはブロックされている。（897）

2023年3月2日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

インド

インド商工会議所連合会

Malloxランサムウェアが、1.28GBのファイルとともに、同連合会をリークサイトに追加した。このファイルには、機密のクレジットノート、従業員の銀行口座の詳細、インターネットバンキングの認証情報などが含まれていた。

米国

Hutchinson Clinic

2022年12月、権限のないアクターが同社のシステムにアクセスした。漏洩した可能性のあるデータは、氏名、連絡先、生年月日、社会保障番号、運転免許証番号、診察記録番号など。

カナダ

テラス

ある侵害フォーラム上の脅威アクターが、同社の従業員の名前と76,000件分の一意のメールアドレスを所有していると主張している。テラスは、データが盗まれた証拠は観測していないと述べた。

米国

Long Beach Unified School District

同学区の学生情報のデータベースがダークウェブ上にアップロードされた。これには、氏名、メール、学生証番号が含まれる。（130,000）

台湾

Breeze Center

ハッカーらが、盗まれたとされる同社のデータをBreachForums上に投稿した。これには、顧客アカウントやパスワードの詳細など、業務や顧客取引に関する情報が含まれている。（900,000）

マレーシア

MySejahtera

2021年10月に発生した侵害で、MySejahteraアプリを利用した新型コロナワクチン接種者の個人情報がダウンロードされた。（3,000,000）

南アフリカ

ポルシェ 南アフリカ

2023年2月に発生したFaustランサムウェアの攻撃により、同社のシステムやバックアップに影響が出た。

英国

ロイヤルメール

LockBitランサムウェアが、2023年1月のランサムウェア攻撃で盗まれたファイルを、交渉時のチャットログとともに公開した。

ドミニカ共和国

La Empresa Distribuidora de Electricidad del Este（EDEESTE）

La Empresa Distribuidora de Electricidad del Esteが、BlackCatのリークサイトに追加された。同グループは420GBの情報を抜き取ったと主張し、その情報はOnionリンクを通じて閲覧できるとされているが、当該URLは現在ネット上にはない。

ブラジル

Âncora Sistemas de Fixação

Royalランサムウェアが、同社を自身のリークサイトに追加し、証拠として88GBの盗まれたとされるデータをアップロードした。

アルゼンチン

La Segunda Seguros

LockBitランサムウェアが、同社を自身のリークサイトに追加し、いくつかのデータサンプルを証拠として追加した。

コロンビア

Joaquín Paz Borrero Hospital

ランサムウェア攻撃により、特定のサーバー上のデータが暗号化された。どのようなランサムウェア種が関連していたかは不明のままである。

米国

ニューズ・コーポレーション

2020年2月から2年間にわたる同社へのデータ侵害が、外国政府に関連するハッカーらによって行われたものだと確認された。漏洩した可能性のある情報は、氏名、生年月日、社会保障番号、パスポート情報など。

米国

Encino Energy

ALPHVランサムウェアグループが、400GBの盗まれたとされるデータとともに同社を自身のリークサイトに追加した。同社はサイバー攻撃を確認したが、ランサムウェアが関連しているかどうかや、何らかのデータが盗まれたかどうかは明らかにしていない。

米国

連邦保安官局

ランサムウェアの攻撃により、スタンドアローンシステムからデータが抜き取られた。その後、このシステムは接続を切断されている。同システムには、捜査対象者、サードパーティ、特定の職員に関連する情報を含む、法執行機関の機微情報が含まれている。

米国

Dental Health Management Solutions

従業員のメールアカウントを経由して、同社のシステムへの不正アクセスが行われた。漏洩した可能性のあるデータは、患者の氏名、社会保障番号、運転免許証番号、住所のほか金銭関連情報、健康保険、医療の情報など。（3,205）

米国

Alvaria

2022年11月のHiveランサムウェアの攻撃により、顧客および従業員の機密情報への侵害が発生した。漏洩したデータには、氏名、社会保障番号、パスポート番号、金融口座や健康保険情報、税金関連情報が含まれる。

米国

Beeline

ある脅威アクターが、BeelineのJiraアカウントから盗まれたとされるデータを含むデータベースを投稿した。同データには、顧客名や従業員名、ユーザー名などが含まれる。このサンプルには、アマゾン、クレディ・スイス、3M、ボーイング、BMW、ダイムラー、JPモルガン・チェース、マクドナルド、Bank of Montrealなど、Beelineの顧客のデータも含まれる。

複数

LockBitランサムウェアは、Pierce Transitとワシントン州レイクウッド市を侵害したと主張した。Pierce Transitから漏洩した可能性のあるデータは、顧客の個人データ、契約書、郵便物、秘密保持契約書など。

サウジアラビア

Fayvo

保護されていないサーバーが、少なくとも80日間、一般にアクセス可能な状態にあり、約4,500万件の文書が公開状態となった。漏洩したデータには、ユーザーのフルネーム、ユーザー名、メールアドレス、電話番号、生年月日、投稿内容、プロフィール画像が含まれる。サーバーがその後保護されているかどうかは不明。

インド

Infrastructure Leasing & Financial Services Limited

LockBitランサムウェアは、同社を自身のリークサイトに追加し、証拠としてスクリーンショットを投稿した。漏洩した可能性のあるデータは、契約書の詳細、個人データ、パスポート、郵便物、金融文書など。身代金の支払い期限は2023年3月10日と設定された。

米国

Sentara Health

2022年10月、患者データを含むPDFがAdobe Acrobatサイトにアップロードされたが、その後削除された。漏洩した可能性のあるデータには、氏名、メディケアID番号、診療日、アカウント番号の下4桁などが含まれる。（741）

米国

Group 1001

ランサムウェアの感染により、同社でシステムの停止が発生し、Group 1001のメンバー企業も影響を受けた。グループ1001は、身代金を支払わなかったと主張しているが、データが影響を受けたかどうかについては言及しなかった。その後、業務は完全に再開された。

マレーシア

内国歳入庁

報道によると、納税者の個人情報が、MyTaxプラットフォームを通じて誰でもアクセスできる状態だった。漏洩した可能性のあるデータには、住所、電話番号、銀行口座番号、メールアドレス、納税者番号が含まれる。

英国

W・H・スミス

サイバー攻撃により、脅威アクターが現従業員および元従業員のデータを含む企業データにアクセスした。漏洩した可能性のあるデータには、氏名、住所、国民保険番号、生年月日が含まれる。

米国

White Settlement Independent School District

LockBitランサムウェアグループは、自身のリークサイトに同学区を追加し、証拠としていくつかのファイルも添付した。このファイルは最近のものではないとみられる。同学区はその後、サイバー攻撃の可能性がある事象について報告したが、これにより一部の職員の文書が侵害されていた。

米国

テキサス州公安局

ニューヨークを拠点とする組織犯罪グループが、ダークウェブから入手した個人情報を使って、同局から再発行運転免許証を不正に入手した。他の州も同様に狙われていたと報じられている。（~3,000）

米国

O’Neal Industries Inc

同社のコンピューターネットワークへの不正アクセスにより、データ侵害が発生した。漏洩した可能性のあるデータには、氏名、住所、社会保障番号が含まれる。（726）

米国

Meriplex Communications

同社は、顧客であるMalaga Bankの秘密情報が不正アクセスを受けたことを認識した。不正にアクセスされた可能性のある情報には、氏名や社会保障番号が含まれる。

米国

CompSource Mutual Insurance Company

不正アクセスにより、機密性の高い顧客の情報が権限のないアクターに取得された。流出した可能性のある情報には、氏名、社会保障番号、運転免許証番号、金融口座情報、および保護対象保健情報が含まれる。

米国

Rockler Companies Inc

2022年5月、権限のないアクターが同社のネットワークにアクセスした。漏洩した可能性のあるデータには、氏名、社会保障番号、運転免許証番号、金融口座番号、クレジットカードまたはデビットカード番号が含まれる。（8,604）

米国

Emtec Inc

2022年9月、権限のない者が同社のネットワークにアクセスした。漏洩した可能性のあるデータには、氏名、住所、社会保障番号、運転免許証番号、金融口座情報、保護対象保健情報が含まれる。（7,657）

米国

Cleveland Brothers Holdings Inc

2022年11月、同社のネットワーク上で不審な動きが発見された。漏洩した可能性のある顧客情報には、氏名や社会保障番号が含まれる。

カナダ

Indigo Books & Music

LockBitランサムウェアは、最近発生した同書店に対する攻撃の犯行声明を出した。この攻撃で攻撃者は従業員情報を盗んだが、データの種類はまだ特定されていない。LockBitは、同社の支払い期限を2023年3月2日としている。

米国

Lubbock Heart and Surgical Hospital

2022年7月に発生したサイバー攻撃が、脅威アクターによる秘密情報へのアクセスに繋がったとされている。漏洩した可能性のある情報には、氏名、連絡先情報、人口統計学的情報、生年月日、社会保障番号、医療情報が含まれる。（23,379）

米国

ディッシュネットワーク

同社での数日間にわたるネットワークとサービスの停止はランサムウェア攻撃によるものだった。また一部の情報筋は、Black Bastaランサムウェアグループの関与を指摘している。同社は攻撃者がデータを盗んだことを認めたが、その種類は明らかにしていない。個人情報が影響を受けたかどうかについては、現在調査中。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

アジア太平洋地域および北米の政府機関を標的とした検出困難なキャンペーンにおいて、未知の脅威アクターがDiscordとダウンローダー「PureCrypter」ダウンローダーを利用しているのを、Menlo Securityの研究者が観測した。PureCrypterは、侵害された非営利組織のドメインをC2として使用し、二次的なペイロードを配布する。観測されたペイロードには、Redline Stealer、AgentTesla、Eternity、Blackmoon、およびPhiladelphiaランサムウェアが含まれる。

暗号資産

約2,500万ドル相当の非代替性トークン（NFT）を所有者から盗んだ北朝鮮のハッキンググループと思われるグループを、暗号資産ウォレットZenGoの研究者が特定した。このアクターは、斬新なオフライン署名攻撃を使ってERC-20トークンを盗み、NFTに関連するウォレットを制御していた。同グループの攻撃は、過去に北朝鮮のグループとの関連が指摘されたフィッシングインフラと結びついていた。この攻撃は、昨年SlowMistの研究者によってNFTを盗む様子が観測されたのと同じグループによって実行された。

小売

Cybleの研究者が、スキマー「R3NIN」を分析。同スキマーは、侵害されたEコマースサイトで被害者が入力したペイメントカードデータや個人を特定できる情報を盗む。R3NINは、インジェクション用のカスタムJavaScriptコードの生成や、侵害されたペイメントカードデータのクロスブラウザでの抽出など、複数の機能を備えている。最近の改良点としては、キーロガー機能、スクリプトの難読化、スキマーパネルからのリモート実行の追加などがある。この悪意あるオペレーションは正規のドメイン上で行われ、悪意あるスクリプトが被害者のデバイスとの直接のやりとりを行わないことを踏まえ、Cybleは、ユーザーにとってEコマースサイトが安全かどうかを識別することが困難になっていると指摘した。

ヘルスケア

米国保健福祉省が、ランサムウェア「MedusaLocker」の脅威について注意喚起した。このマルウェアは複数のセクターをターゲットにしているが、第1の標的は医療セクター。MedusaLockerは現在、保護されていないリモートデスクトッププロトコルサーバー、デスクトップ、および脆弱性を標的としている。また、同脅威アクターは、フィッシングキャンペーンを通じて標的のネットワークにアクセスすることもある。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(24 February – 02 March 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/