京セラの米国子会社AVXをLockBitが攻撃

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

京セラの米国子会社AVXをLockBitが攻撃

2023年5月26日、LockBitグループが同メーカーをリークサイトに追加し、身代金が支払われなければ2023年6月9日までに同社から盗まれたとされるデータを流出させると脅した。京セラが侵害されたのには2022年の富士通へのサイバー攻撃（LockBitはこの攻撃によりサプライチェーン攻撃を実施できるようになった可能性がある）が関係していると報じられている。

かつて存在した人気フォーラム「RaidForums」のユーザーデータがリークされる

脅威アクター「Impotent」が、2015年3月20日から2020年9月24日の間にハッキングフォーラム「RaidForums」に登録したメンバーのデータを含むデータベースをリークした。リークされたデータには、ユーザー名、メールアドレス、ハッシュ化されたパスワード、登録日、フォーラムソフトウェアに関連する情報などが含まれる。

Zyxel製ファイアウォールの脆弱性をMiraiの亜種が広範に悪用：CVE-2023-28771

Miraiボットネットの亜種が、最近パッチがリリースされた脆弱性CVE-2023-28771を悪用してZyxel製ファイアウォールをハッキングしようとしているのを、セキュリティ研究者のKevin Beaumont氏が観測した。このOSコマンドインジェクションの脆弱性を利用した認証されていない攻撃者は、特別に細工されたパケットの送信によってリモートでOSコマンドを実行できるようになる可能性がある。Rapid7の研究者は、インターネットに接続されているZyxelデバイスのWebインターフェースを42,000インスタンス特定している。

2023年6月1日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

キューバ

ETECSA

GhostSecが、顧客の電話番号と関連情報を含むデータベースの一部にアクセスし、公開したと主張している。

米国

Populus Financial Group

2023年3月9日から3月10日の間に、権限を持たない者が特定の消費者データにアクセスし、氏名および金融口座情報を流出させた。
（51,858）

米国

Freedom Mortgage Corp

消費者情報が不正アクセスに見舞われた。流出した情報には、氏名および社会保障番号が含まれる。

米国

ジョージア州オーガスタ

BlackByteランサムウェアが、10GBの機微データを盗んだと主張している。

米国

テスラ

テスラの元従業員が、数千件の顧客による苦情および従業員と顧客の個人的な情報を含む100GBのデータをハンデルスブラットにリークした。

米国

Vascular Center of Intervention

2023年2月25日から3月29日の間に、医療歴、生年月日、社会保障番号、健康保険情報などを含む患者データがアクセスまたは抽出された。2023年5月10日、BianLianランサムウェアが同社を自身のリークサイトに追加し、200GBの機微データを抜き取ったと主張した。

ロシア

Pult[.]ru

一般にアクセス可能な環境ファイルにより、機微な認証情報が公開状態となった。同認証情報により、アクターが同社のビジネスオートメーションシステムとソースコード、および顧客と従業員の個人的なデータにアクセスできた可能性がある。

米国

Norton Healthcare

BlackCatランサムウェアが4.7TBのデータを盗んだと主張している。同アクターは、証拠として約70件のファイルをリークした。これには、患者の画像と患者数百万人分および従業員2万5千人分の社会保障番号が含まれるとされている。

米国

フレッシュデルモンテ

同社のネットワークの一部が不正アクセスに見舞われた可能性がある。漏洩した可能性のあるデータには、氏名、社会保障番号、運転免許証番号、パスポート番号、金融口座情報および保護対象保健情報が含まれる。

オーストラリア

ノーザンテリトリー政府

2018年から2019年の間に、NT Healthおよびthe Core Clinical Systems Renewal Programからソフトウェアベンダーのインターシステムズに、特定可能な医療記録が送られた。同データには精神医療に関するレポート、妊娠中絶または死産の記録、電気ショック療法、腫瘍の治療場所の訪問などの機微情報と共に患者の氏名が含まれていた。（3,277）

英国

複数のNHSトラスト

Meta Pixelが、ユーザーの知らない間に20の国民保健サービス(NHS)トラストのWebサイト上で数年間使用されていた。同ツールは閲覧されたページ、クリックされたボタンおよび検索されたキーワードなどの閲覧情報を収集するために使用されるもので、Meta社によって共有されている。同社に送られた情報のレコードには、個人と結びついた場合に個人の医療に関する詳細情報が明らかになる可能性のあるデータが含まれている。

SuperVPN

パスワードで保護されていないデータベースには、133GB超のデータが含まれていた。これにはメールアドレス、端末情報、ユーザーが訪問したサイトへの参照、秘密鍵、システム情報などの3億6千万件分のレコードが含まれる。

米国

Tennessee Orthopaedic Clinics

2023年3月20日から3月24日の間に、権限のない者が特定のファイルにアクセスしたか、ファイルを入手した可能性がある。漏洩した可能性のある患者データは、氏名、生年月日、診断情報および治療情報、健康保険情報など。

米国

Onix Group LLC

2023年3月20日から3月27日の間、権限のないアクターがまずOnixのネットワークにアクセスし、そしてファイルのサブセットを削除した。漏洩した可能性のある情報は氏名、社会保障番号、生年月日、請求書情報など。

米国

MCNA Dental

ランサムウェア攻撃により、フルネーム、住所、生年月日、電話番号、メールアドレス、社会保障番号などの情報が流出した。2023年3月7日、ランサムウェアグループLockBitがMCNAを攻撃したと主張し、その後同アクターが盗んだとされる700GBのデータをリークした。2023年2月26日、攻撃者は初めに、同社のネットワークへのアクセスを獲得していた。（8,923,662）

米国

プライマリーソリューション

2022年8月にランサムウェア攻撃を受け、データ侵害が発生した。流出した情報には住所、生年月日、社会保障番号、健康情報のほか、少数の事例ではペイメントカード情報が含まれる。（7,456）

インド

Madhya Pradesh Power Management Co

2023年5月22日に発生したランサムウェア攻撃により、さまざまな職員間での通信に使用されていた同社の社内技術システムが無効化された。

米国

Albany ENT & Allergy Services

2023年3月23日から4月4日の間に、権限のないアクターが個人情報および保護対象保健情報が保存されている特定のシステムにアクセスした可能性がある。同インシデントにより、社会保障番号と組み合わせた氏名またはその他の個人を識別できる情報が影響を受けた。同社は以前、BianLianおよびRansomHouse双方のリークサイトに追加されていた。（224,000）

Poast

極右のソーシャルメディアサイトがデータ侵害に見舞われ、ユーザーのメール、プライベートメッセージおよび共有されたメディアが流出した。

米国

サフォーク大学

2023年5月24日、マサチューセッツ州の同大学が、2022年7月9日に発生した学生の機密情報への不正アクセスに伴うデータ侵害を公表した。漏洩した可能性のあるデータには、氏名および社会保障番号が含まれる。（53,000）

米国

マーサー大学

2023年4月5日、同大学のサーバーに対する不正アクセスが発生した。また攻撃者は、2023年2月上旬にも約2週間にわたり同大学のシステムにアクセスしていたことが判明している。漏洩した可能性のあるデータには、社会保障番号または運転免許証番号と組み合わせた氏名が含まれる。（93,000）

米国

McPherson Hospital

同病院のサーバーに保存されていた情報が、2022年7月12日以前に不正アクセスに遭った可能性がある。流出した情報には氏名、住所、社会保障番号、運転免許証番号、金銭関連情報、医療情報および健康保険情報が含まれる。

スイス

ABB

攻撃者がランサムウェア攻撃で特定のデータを抜き取ったことを同社が認めた。今回の開示は、同社がランサムウェアグループBlack Bastaの標的となったという報道を受けたものである。

スイス

Global Coalition for Efficient Logistics

一般にアクセス可能な状態となっているバケットには、約85GBの機微データが含まれており、これには機密文書、雇用契約書および秘密保持契約書、連絡先および仮想マシンが含まれる。

米国

フランクリン・テンプルトン・インベストメンツ

サードパーティーベンダーのInvestorCOMが、ClopランサムウェアによるFotra社製GoAnywhere MFTへの盛んなハッキングの影響を受けた。同侵害により、氏名、住所およびアカウント番号を含むフランクリン・テンプルトン・インベストメンツのユーザーの個人情報が影響を受けた。（89,470）

米国

Casepoint LLC

BlackCatランサムウェアのアクターらが、弁護士に関するファイルなどの2TB分の機微データを盗んだと主張している。同アクターは、法的な契約書および政府IDと思われるものを含むスクリーンショットをいくつか提供した。

米国

SimpleTire

パスワードで保護されていないデータベースには1TB分のデータが含まれており、これには顧客名、電話番号、住所および有効期限を含む一部のクレジットカード番号が含まれていた。

米国

Burch & Cracchiolo PA

ALPHVランサムウェアグループが、390GB分のデータを盗んだと主張した。これには、社会保障番号とクレジットカードのデータおよび財務報告書、保険情報などを含む従業員と顧客の個人情報が含まれるとされている。

米国

エンゾ・バイオケム

2023年4月に発生したランサムウェア攻撃により、個人の臨床検査情報および約60万件分の社会保障番号が流出した。（2,470,000）

日本

トヨタ自動車株式会社

先日発生したデータ侵害により、日本のユーザーの車両に関するデータが影響を受けたのに加えて、特定のアジア諸国およびオセアニアのユーザーの個人情報が影響を受けた。漏洩した可能性のある情報は住所、氏名、電話番号、メールアドレス、顧客IDなど。

インド

MoChhatua App

ハッキングフォーラムのあるユーザーが、地方自治体の同アプリのデータベースにアクセスし、これを投稿したと主張している。同侵害にはユーザーの氏名、メール、パスワードなどが関係しているとされている。

米国

Mission Community Hospital

RansomHouseがカリフォルニア州の同病院を自身のリークサイトに追加し、1.5TBのデータを抽出したと主張した。証拠として提供されたファイルは、同アクターが画像システムや画像ファイル、および従業員関連のファイルや一部の財務報告書にアクセスしたことを示唆している。

米国

MedInform Inc

権限のない者が、クリーブランド・クリニックの患者の機密情報にアクセスした。これには氏名、住所、社会保障番号、医療費請求に関する情報および金融口座情報が含まれる。

ポーランド

Energa Group

あるハッカーが攻撃を行ったことで、Webサイト「Energa24」のユーザーアカウントの詳細情報が流出する事態が発生した。（1,500）

米国

セールスフォース

不正に無効化されメンテナンスされていないセールスフォースのWebサイトが、依然としてアクセス可能であり、リスクに対して脆弱な状態となっている。このようなサイト上のホストヘッダを操作することで、攻撃者は個人を識別できる機微な情報および業務データへのアクセスを獲得することができる。

米国

Indeed Inc

公開のBLOBストレージにより、数千件の履歴書が公開状態となった。公開状態となっている同ストレージは、採用担当者が応募者から情報を受け取るメッセージングシステムで使用されている模様。

ロシア

スコルコボ財団

ハッカーらが特定の少数の情報にアクセスした。これには、物理サーバー上のファイルホスティングサービスが含まれる。ハッカーらはプレゼンテーションの情報、写真、契約書のほか、法人のパートナーや取引先のリストにアクセスした。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

銀行・金融

2023年第1四半期、SentinelLabsの研究者は、ブラジルの脅威グループがポルトガルの金融機関の利用者を狙って認証情報と利用者の個人情報を盗もうとしているのを観測した。Operation Magalenhaと名付けられたこのキャンペーンは、2021年から始まった広範な連鎖的活動の一部であり、現在では30以上の金融機関の利用者が標的となっている。攻撃者は、Maxtrilhaファミリーの一部であるDelphiバックドアの2つの亜種（合わせて「PeepingTitle」と呼ばれる）を展開する。

政府

脅威グループDark Pinkが新しいツールと抽出メカニズムを使って政府組織や軍事組織を含む新しい業界や国家関連の被害者を標的にしているのを、Group-IBの研究者が観測した。Dark Pinkは、自ら開発したマルウェアTelePowerBotの持続性を確保するために、Microsoft Excelアドインの機能を活用した改良版のキルチェーンを採用している。また、マルウェア「KamiKakaBot」はアップデートされてその機能が2つ（デバイスの制御と機微データの窃取）に分割された。Dark Pinkは、検出されない状態を維持するために自身の持つ既存のツールセットをアップデートし続けており、検出を回避するためにおそらく異なるLOLBin技術を使用していると思われる。

ヘルスケア

Mountain View Hospital、Idaho Falls Community Hospital、およびその提携クリニックは、2023年5月29日に発生したサイバー攻撃からの復旧に取り組んでいる。いくつかのクリニックは閉鎖を余儀なくされ、Idaho Falls Community Hospitalも救急サービスを他の地域の病院に振り向ける措置を講じている。

重要インフラ

2023年5月28日、SiegedSecのハッカーが、コロンビアの電力供給コントローラーと燃料供給システムに対するサイバー攻撃は自身によるものだと主張した。この主張は、同グループがOpColombiaキャンペーンの終了を発表した直後に行われている。今回の攻撃はGhostSecと共同で行われていた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(26 May – 1 June 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/