Confluence Cloudの設定ミスにより、企業数百社の内部情報や秘密情報が公開状態に

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Confluence Cloudの設定ミスにより、企業数百社の内部情報や秘密情報が公開状態に

セキュリティ研究者のMohammed Moiz Pasha氏は、Atlassian社のConfluence Cloudにおける設定ミスにより、企業数百社の内部情報および機微情報が公開状態になっていることを発見した。公開状態となったデータには、パスワード、認証トークン、進行中のプロジェクトデータ、従業員の個人を特定できる情報、セキュリティインシデントの報告書などが含まれる。

（Mohammed Moiz Pasha氏による解説記事はこちら：Hundreds of companies’ internal data exposed: The Confluence Cloud misconfiguration）

イスラエルの水制御装置にサイバー攻撃、灌漑システムが一時停止

2023年4月10日、イスラエルのガリラヤ地方にある約10台の水制御装置がサイバー攻撃を受け、灌漑システムが一時的に停止するなどの影響が出た。攻撃者は「You have been hacked, Down with Israel」というメッセージを残していた。Israel Postも同様に、2023年4月5日にサイバー攻撃を受けた。その結果、海外に郵便を送ることができなくなるなど、一部の郵便サービスが利用できなくなった。

ジャーナリストやNGO職員などのiPhoneがゼロクリックスパイウェアKingsPawnの標的に

KingsPawnと名付けられた商用スパイウェアが、ジャーナリスト、政治的反体制派の人物、NGO職員などの市民社会の被害者を狙うために使用されていることを、マイクロソフトとCitizen Labの研究者が発見した。このマルウェアは、目に見えないiCloudカレンダーの招待状を利用した、「ENDOFDAYS」と呼ばれるゼロクリックエクスプロイトによって展開される。利用されるゼロデイ脆弱性はApple iOS 14に影響を与えるものだが、同マルウェアはより新しいiPhoneのバージョン用にアップデートされた可能性がある。KingsPawnには、イスラエルを拠点とする企業QuaDreamが関与しているとされており、マイクロソフトは、この企業は脅威アクターDEV-0196とつながっているだろうと、高い確度で考えている。QuaDreamは、法執行関連の目的のために政府向けに販売されているスパイウェア「REIGN」で知られている。

2023年4月13日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

台湾

マイクロスター・インターナショナル

同IT企業は、情報システムの一部にサイバー攻撃を受けた。同攻撃については、Money Messageというランサムウェアグループが犯行声明を出しており、ソースコード、BIOSファームウェア、秘密鍵を含む1.5TBのファイルを盗んだとも主張している。同グループは、同社のCTMSおよびERPデータベースであると主張するスクリーンショットを公開し、身代金を支払わなければ盗んだデータを公開すると脅している。

米国

Camden County Police Department

同警察署は、2023年3月13日にランサムウェア攻撃を受け、犯罪捜査ファイルや毎日の内部事務処理に影響が出た。影響を受けたファイルの約80%から85%は再び開かれたと報告されている。

米国

7×7 Dental Implant & Oral Surgery Specialists of San Francisco

Abyssランサムウェアグループは最近、自身のリークサイトに同医療機関を追加した。同グループは114GBのデータを盗んだと主張しており、2,891件のディレクトリと63,557件のファイルを表示するファイルツリーを証拠として投稿した。いくつかのファイル名は、データが内部文書、従業員関連ファイル、および患者の保護対象保健情報を含むことを示唆している。

米国

PharMerica、BrightSpring Health Services

2023年4月8日、ランサムウェアグループMoney Messageが、この2社を自身のリークサイトに追加した。同グループは証拠として、社会保障番号や保護対象保健情報などの患者データを含むスクリーンショットをアップロードした。2023年4月10日、同グループはさらにデータをリークし、レコード200万件を保有していると主張した。

チリ

Sonda SA

Medusa Lockerランサムウェアのアクターが、証拠としてのファイルキャプチャとともに、同IT企業を自身のリークサイトに追加した。この情報には、Sonda PeruとSonda Argentinaを出どころとするデータが含まれる。同グループは、身代金が支払われない場合、2023年4月15日までに盗まれたすべてのデータをリークすると脅迫した。

チリ

Mutual de Seguros de Chile

2023年4月3日、ランサムウェアグループBlackCatが、証拠としてのサンプルファイルとともに、同社を自身のリークサイトに追加した。これらの情報には、保険契約者の個人情報が入ったファイルが含まれる。

米国

Cadwalader, Wickersham & Taft

2022年11月15日、権限のないサードパーティーが同法律事務所のシステムにリモートアクセスした。このハッカーは、氏名や社会保障番号など、顧客に関する機微情報を取得した。（93,211）

米国

プラットフォームThrone

同プラットフォームの脆弱性により、誰でも他人の投稿を修正したり、他のユーザーのプライベートメッセージにアクセスしたりすることが可能となっていた。この欠陥は、最終的に数千人のオンラインクリエイターの名前と自宅の住所を見つけるために使用される可能性がある。

スイス

ノイエ・チュルヒャー・ツァイトゥング

同紙はサイバー攻撃の標的にされ、制作のための中央システムの停止を余儀なくされた。地元メディアは、身代金が要求されたと報じている。

米国

Elmbrook School District

同学区では侵害が発生し、その結果2022年8月23日から8月27日の間に、同学区のシステムからファイルが削除される事態が発生した。この侵害により、現職員および元職員の名前と社会保障番号が流出した。この攻撃では、米国内の他のK-12学区も標的にされていた。

米国

Aspire Public Schools

同学区では、2022年2月から2022年8月の間に、断続的にAspireメールアカウントへの不正アクセスが発生した。影響を受けたアカウントには個人情報が保存されていた。

米国

Stroud Area Regional Police Department

2022年6月29日、同警察局はサーバーインフラにおけるデータセキュリティインシデントを確認した。このインシデントは、特定の個人の個人情報に影響を与えた可能性がある。

オーストラリア

タスマニア州教育省

Clopランサムウェアのアクターが、同政府部門に属するとされる16,000点の文書をダークウェブ上に公開した。報道によると、これらのファイルには、児童およびその保護者の名前と住所が記載された財務諸表と請求書が含まれているとのこと。

カナダ

Groupe Nordik

2023年2月下旬、同社のギフト券システムで不審な動きが発見された。この侵害は、2022年11月4日から2023年2月27日の間に同社のプラットフォームでギフト券を購入したユーザーに影響を与える可能性がある。侵害された情報には、フルネーム、電話番号、住所、クレジットカード情報が含まれる。

英国

Proskauer Rose

同法律事務所のデータが、保護されていないMicrosoft Azureクラウドサーバーに少なくとも6か月間放置されていた。このサーバーは、財務・法務文書、契約書、秘密保持契約書、金融取引情報などを含む約18万4,000件のファイルから構成されている。

インド

Nykaa、 Delhivery

あるオンラインユーザーが、Nykaaとその配送パートナーであるDelhiveryが顧客データを流出させている可能性があると報告した。この疑惑は、このユーザーがNykaaを装った会社からスパム電話を受け、スパム電話の主がNykaaのサイトで入力した個人情報に言及したことがきっかけを受けて報告されている。その後、さらに多くのユーザーが、Nykaaを利用した後に同様のスパム電話を受けたと報告している。

インド

不明

児童の保護者数百人が、コーチング機関や大学を装ったアクターからスパムメッセージ/通話を受信したと報告している。これを受け、データが流出している可能性や、個人データが学校から第三者に共有されているのではないかという疑惑が持ち上がっている。学校教育省は、データ流出の発生を否定している。

米国

Kodi

同メディアプレーヤーソフトウェアのユーザーフォーラムがデータ侵害に遭い、ユーザーの個人情報が流出した。これには、氏名、メールアドレス、IPアドレス、パスワードが含まれる。（>400,000）

カナダ

FreshBooks

2023年1月20日、Cybernewsの研究者は、機微なデータを含む誰もがアクセス可能なAmazon Web Servicesのストレージバケットを発見した。これには、同社のWordPressサイトのユーザー認証情報121件やソースコード、サーバーバックアップが含まれている。

ドイツ

リュールセン

同社は、2023年のイースターホリデー期間中にランサムウェア攻撃の標的となった。この攻撃により、同社の業務の大部分が停止した。

米国

Medicalodges、Petaluma Health Center

Karakurtの脅威アクターが、両ヘルスケア企業をリークサイトに追加した。同グループは、いずれの主張についても証拠を提供しなかった。Medicalodgesはその後、同社のシステムに影響を与えたサイバーインシデントについて公表している。

米国

NorthOne Inc

パスワードで保護されていないデータベースに、複数の個人と企業の請求書を含む大量のPDF文書が含まれていた。これらの請求書には、氏名、メールアドレス、住所、電話番号などが記載されていた。場合によっては税金情報も公開状態となった。

フランス、イタリア

ヒョンデ

同社は、イタリアとフランスの自動車所有者と試乗予約者に影響を与えるデータ侵害に見舞われた。流出したデータには、メールアドレス、住所、電話番号、車両の車台番号が含まれる。

ケニア空港局

Medusaランサムウェアグループが、2023年2月に同組織を標的にした。2023年4月11日、Medusaは、調達計画、物理的計画、現場調査、請求書、領収書など、同局に属するとされるデータ514GB分を公開した。同局のある関係者は、この攻撃による業務上または財務上の重大な影響はなく、攻撃中にアクセスを受けたデータは公開されている情報であると述べた。

英国犯罪記録局（ACRO）

サイバーセキュリティインシデントにより、2023年1月17日以降、同局のオンラインポータルが影響を受けていた。このインシデントにより、一部の応募者の身分証明書情報と前科データが影響を受けたと報告されている。しかしACROは、個人情報が影響を受けたという決定的な証拠はないとし、現在も調査は続いていると述べた。

米国

Kibble Equipment

Kibbleの情報を保有していたRackspace社での過去の侵害が、Kibbleでのデータ侵害を引き起こした。このインシデントでは個人情報が流出したが、Kibbleは、影響を受けた情報の種類や影響を受けた人数をまだ明らかにしていない。

米国

Collegedale市

2023年4月9日頃にBlackByteランサムウェアのリークサイトに4,000点以上の文書が掲載され、データがリークされたことを市の広報担当者が確認した。これらのデータには、職員や犯罪被害者の個人情報、財務データ、人事ファイルなどが含まれている模様。

政府に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

米国司法省と国防総省は、「最高機密」と記されたものを含む機密文書がネット上に流出したと思われる事態について調査している。当該データは2023年3月から親ロシア派のTelegramチャンネル、Discord、4chanなどのオンラインサイトに投稿されていたが、2023年1月にはすでに投稿されていた可能性もあるという。流出した文書には、ロシアのウクライナ侵攻、NATOの活動、南シナ海に関して英国が実施し得る政策などに関する情報が含まれているとされる。リークされた文書の真実性はまだ検証されていない。

銀行・金融

インドの人気銀行の利用者を狙う、税金の話題を利用したスミッシングキャンペーンを、ソフォスの研究者が確認した。利用者の口座がブロックされたと伝える内容の悪意あるテキストメッセージには、偽の銀行のログインページにつながるAndroidパッケージをダウンロードするリンクが含まれている。このフィッシングページは、ユーザーのログイン情報、パスワード、デビットカード番号、ATM暗証番号を取得しようとする。

テクノロジー

2023年3月、Sonatypeの研究者は、PyPIレジストリにアップロードされた6,933件の悪意あるオープンソースパッケージを確認した。これにより、2019年からの累計数は115,165件となった。悪意あるパッケージの相当数には、W4SPスティーラーの模倣品など、情報窃取型のトロイの木馬が含まれていた。研究者はまた、GitHubで悪意のあるファイルをホストするスペイン語話者向けのマルウェア・アズ・ア・サービス（MaaS）が売りに出されているのも確認した。これにはスペインのハッカーグループ「SylexSquad」が関与していたとされる。SylexSquadは、Sellixプラットフォーム上にかつて存在していたマーケットプレイスを運営していたグループ。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(07 – 13 April 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/