2021.01.15 04:25:02
Threat Report
SolarWindsのインシデントに関連して盗まれたとされるデータを、Webサイト「SolarLeaks」が販売

概要
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクトのトレンド
このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。
データ漏洩と侵害
今週報告された漏洩と侵害の一部を示しています。
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
UN
国際連合環境計画・国際労働機関
Sakura Samuraiの研究者は、UNEPとILOに関連したGitディレクトリとクレデンシャルが公開されているのを発見し、これにより10万件以上のUNEPの従業員の記録にアクセス可能になっている。流出されたデータには、従業員のID、名前、従業員グループ、渡航履歴、人口統計データなどが含まれている。
EU
欧州医薬品庁(EMA)
2020年12月のEMAへの攻撃に関する調査により、COVID-19 の医薬品やワクチンに関連する一部の文書がネット流出したことが明らかになった。情報筋はBleepingComputerに対し、流出データには、Eメールのスクリーンショット、EMA のピアレビューコメント、Word文書、PDF、PowerPointプレゼンテーションなどが含まれていると伝えた。
ニュージーランド
Reserve Bank of New Zealand
同社が利用する第三者ファイル共有サービスに保存されているデータに、攻撃者が不正アクセスしたことが明らかになった。アクセスされた可能性のあるデータには、商業的な情報や個人の機密情報が含まれている。
フランス
Dassault Falcon Jet
ランサムウェア攻撃を受けたとして、現・旧社員に注意喚起した。この攻撃により、社員の個人情報や配偶者・扶養家族に関する情報が不正アクセスされた可能性があると発表した。漏洩した情報には、氏名、メールアドレス、住所、運転免許証番号、パスポート情報、社会保障番号などが含まれている可能性がある。LeMagITによると、この攻撃の背後には「Ragnar Locker」ランサムウェアを運営するグループと同一であると示唆している。
Ledger
ハードウェア暗号通貨ウォレットメーカーのLedger は、顧客のデータが不正な Shopify の従業員2人によって侵害されたことを通知した。2人の従業員は、2020年9月に明らかになったインシデントで、200以上の加盟店に関するデータに不正にアクセスしていた。また、彼らは Ledger 顧客の2020年4月と6月の取引記録も入手したと報じられている。
韓国
SweetChat
出会い系アプリ「Sweet Talk」に関連する100万枚以上のプライベート写真と、同サービスに属するAmazon S3のデータベースがCyberNewsの研究者により発見された。データベースからは個人を特定できる情報は発見されなかったが、すべての画像にはユーザーIDが含まれている。
カナダ
Communauto
CEOブノワ・ロベール、同カーシェアリングサービスが「REvil」ランサムウェアの攻撃を受け、顧客データが流出したことを発表した。影響を受けたデータには、加入者番号、氏名、市民の住所、メールアドレスなどが含まれていた。
eHealth Saskatchewan
2019年12月、サスカチュワン州のプライバシー委員会事務局は、同州の電子健康情報ネットワークを狙ったランサムウェア攻撃により、個人情報や健康データが記載された最大54万7145個のファイルが流出した可能性があることを明らかにした。
Aurora Cannabis
正体不明のハッカーが、攻撃で盗み出した企業データの販売を開始した。販売者は、信憑性を高めるために11個のファイルの画像を証拠として提供した。BleepingComputerによると、データにはパスポートや小切手、ビジネス文書、運転免許証などの画像が含まれているという。
Sangoma Technologies
同社は2020年12月24日に公表されたランサムウェア攻撃の被害に遭った。攻撃者は、財務情報や企業の開発の取り組み、従業員の非公開データ、一部の顧客情報や注文履歴など、かなりの数の機密ファイルを暗号化して抜き取り、公開したと報告されている。
Promutuel Assurance
2020年12月に同社に対するサイバー攻撃の後、攻撃で盗まれたと考えられる文書を、ランサムウェアのオペレーター「DoppelPaymer」がダークウェブ上にアップロードしたと報じられている。同社によると、アップロードされたのは約15のファイルのみで、いずれも社会保障番号や運転免許証、クレジットカード番号、銀行情報などは含まれていなかったという。
米国
Leon Medical Centers
2020年11月8日、レオン医療センターは、コンピュータネットワークの一部にマルウェアを発見した。調査の結果、個人情報を含む特定のファイルが攻撃者によってアクセスされていたことが判明した。氏名、連絡先、社会保障番号、財務情報、生年月日などが含まれている。
Prestera Center
特定できないデータセキュリティインシデントにより、患者の氏名、生年月日、医療記録番号、医療提供者の詳細と社会保障番号が漏洩した。(3,708人)
OmniTRAX & Broe Group
2020年12月24日、コロラド州の物流プロバイダーとその親会社が、「Conti」ランサムウェア攻撃を受けた。攻撃者は、同社から盗まれたとされる70GBのデータを流出させ、その中には従業員の作業用コンピューターの内容も含まれていると報じられている。
Ubiquiti
ネットワーク機器メーカーは2021年1月11日、攻撃者がサードパーティのクラウドプロバイダーをハッキングし、Ubiquitiのシステムの一部にアクセスしたことを警告するメールを顧客に送信した。影響を受ける可能性のある情報には、氏名やメールアドレス、一方向暗号化されたパスワード、場合によっては住所や電話番号などが含まれている。
Parler
Twitterユーザーの「crash override」が、クラウドソーシングシステムを使ってParler上に投稿された全コンテンツの約99%をアーカイブ化した。同アクターは110万点の投稿文、画像、動画URLをアクセスし、その中には生の動画ファイルと撮影場所のGPSメタデータが含まれていた。Parlerが削除された投稿を「閲覧不可」とマークし、削除する代わりに検索結果から除外している。
Window to the World Communications
同社は、2018年12月から2020年8月間に発生したとみられるデータ侵害について、従業員に通知した。約40人の個人情報を含む社員メールが流出したようだ。(<40人)
SolarWinds
NJALLAを通じて登録された「SolarLeaks」と呼ばれるウェブサイトが、最近の SolarWinds の漏えいインシデントで侵害された企業から盗まれたとされるデータを販売している。NJALLAは、ロシアの脅威アクター「Fancy Bear」と「Cozy Bear」が利用していることで知られているレジストラだ。販売されているデータには、マイクロソフトのソースコードのほか、複数のCisco製品のソースコード、FireEyeのレッドチームツールとソースコード、SolarWindsのソースコードとカスタマーポータルのダンプなどが含まれていると考えられる。
Jefferson Healthcare
2020年11月9日に Jefferson Healthcare を狙ったフィッシング攻撃により、データ漏えいが発生した。未知の人物が従業員のEメールに不正アクセスし、患者の氏名、生年月日、電話番号、自宅住所のほか、診断、治療、健康保険に関する情報を流出させた。
National Board for Certified Counselors
同組織は、2020年8月31日から9月7日までの間に発生したシステムへの不正アクセスを含む、ネットワークへのサイバー攻撃を発見した。名前、住所、社会保障番号、生年月日、認証情報が公開されていた可能性がある。
King and Pierce County Schools
ワシントン州の学校が、従業員や生徒の個人情報に影響を与える可能性のあるデータ漏えいの標的となった。流出した可能性のある情報には、氏名、生年月日、社会保障番号、金融口座情報、高度な医療情報などが含まれている。
インド
ClickIndia
「ShinyHunters」が販売しているデータダンプに、氏名、メールアドレス、電話番号、その他の個人情報など、ClickIndiaのユーザー記録800万件が含まれているとセキュリティ研究者のRajshekhar Rajaharia氏により確認された。
WedMeGood
ハッカー集団「ShinyHunters」は、130万件の記録を含むデータダンプを販売している。これらには氏名、メールアドレス、ハッシュ化されたパスワードなどが含まれている。
ChqBook
100万件の記録を含むデータダンプが「ShinyHunters」によって販売されている。その記録には、氏名、メールアドレス、住所、電話番号が含まれている。
ジャンムー・カシミールの住民
Cybleの研究者によると、サイバー犯罪市場のフォーラムに投稿した脅威アクターが、ジャンムー・カシミール州の住民に関連する224,489件の記録を保有していると主張している。その記録には、氏名、性別、携帯電話番号、メールID、住所、生年月日など、個人を特定できる情報が含まれている。
Private hospital in Kerala
Observation Research Foundationによると、ケララ州にある大規模な民間の総合病院で、データ流出が発生し、2015年から2021年の間の日付がある、患者の完全な記録などが被害を受けた。流出データには、名前、メールアドレス、電話番号、検査結果、スキャン、処方箋、入院関連書類などが含まれる。データは、ユニークな患者IDで検索可能で、インターネット上で誰でも入手可能だ。(200,000人)
英国
Amey
2020年12月16日頃、インフラ管理会社のMount Lockerがランサムウェア攻撃の標的となった。12月26日、攻撃者は同社から盗まれたデータをリークサイトで公開し始めた。盗まれたデータには、従業員のパスポートや運転免許証、会社の財務書類や機密提携書類、通信、技術設計図などが含まれている。
Transform Hospital Group
同美容外科プロバイダーは2020年12月6日、同社のITシステムが不正な者によってアクセスされたことを明らかにした。「REvil」ランサムウェアのオペレーターが犯行声明を出し、900GBのデータを同社から盗んだと主張していると報じられている。データには、美容整形手術を受けた患者の写真や、医師、研修医、外科医、エステティシャンらの情報が含まれている。同グループはすでに600GBのデータを流出させている。
南アフリカ
Mirror Trading International
アノニマスと名乗るアクターが、クリプトカレンシービジネスのミラー・トレーディング・インターナショナル(MTI)のデータをオープンインターネット上で公開した。MTIは、南アフリカの裁判所によって詐欺集団であることが判明し、会社の解散命令も出されている。漏洩情報には、詐欺活動の上位稼ぎ手の名前、口座情報、住所、連絡先などが含まれている。(200人)
ベトナム
ベトナム人eショップ利用者
Raid Forum上のユーザー「kjkwwfw」がベトナム市民の個人情報を販売しているとSaigon Timesが報道した。売られている情報には、フルネーム、住所、電話番号などが含まれている。(300,000人)
ノルウェー
AKVA Group
2021年1月10日、養殖製造会社はランサムウェア攻撃を受け、生産データが盗まれる。
中国
Socialarks
Facebook、Instagram、LinkedInからスクレイピングされたElasticsearchデータベースが公開されていることがSafety Detectives社の研究者により確認された。408GBのデータと3億1800万件の記録が含まれていた。流出されたデータには、氏名、居住国、勤務先、役職、サブスクリプション情報、連絡先、ユーザープロファイルへのリンクなどが含まれている。同サーバーは2020年12月14日に保護された。(214,000,000人)
タイ
Mono Next PCL
ALTDOSはタイ企業のドメインのいくつかをハッキングし、数百ギガバイトのデータを流出させたとDataBreaches[.]netが報告している。
オランダ
ロイヤル・ダッチ・ツーリングクラブ
同クラブは、2020年12月に発生したランサムウェア攻撃によりデータが漏洩した可能性についてメールを顧客に送信した。攻撃の影響を受けたのは、ANWBのサプライヤーであるTrust Krediet Beheer。
Eneco
同エネルギー供給会社は「多数の不規則なログイン試行」を確認し、許可された人物が個人および企業用の My Eneco アカウントにアクセスしたと報じられている。同社によると、アクセスは、他のデータ漏えいインシデントで漏れたEメールアドレスとパスワードを使用して行われたと述べた。(1,700人)
オーストラリア
Ambulance Tasmania
ABCニュースによると、Ambulance Tasmaniaの呼び出しシステムがデータ侵害に見舞われた。今回のインシデントは、2020年11月以降に救急車サービスを利用したタスマニア人の個人データに影響を与えた。これには、患者のHIVの状態、性別、年齢、病状のほか、事件が発生した住所などが含まれている。侵害されたデータは、ポケットベルのメッセージで2万6千ページ分を超え、公開ウェブサイトに掲載された。
Moreton Police District
オーストラリア、クイーンズランド州の警察官が、地元の銃所持者350人に、銃器の安全性に関するメールを名前やメールアドレスを伏せずに送信したと報じられている。
銀行・金融に関連して言及されたマルウェアのタイプ
このチャートは銀行・金融に関連して、先週トレンドとなったマルウェアのタイプを示しています。
各業界の週間概況
先週の各業界に関わるニュースと情報です。
政府
米国の国家防諜・安全保障センターのセンター長、ウィリアム・エバニナ氏は、中国とロシアが米国の COVID-19 ワクチン供給活動を妨害していると主張している。エバニナ氏は、米国の敵は「サプライチェーンを混乱させようとしている」と述べている。
銀行・証券会社
Abnormal Securityの研究者は、偽の BB&T Bank からの自動通知をルアーとして用いるフィッシングキャンペーンを確認した。この通知では、ログイン回数が多すぎるために口座から締め出されたと偽りの通知を行い、フィッシング用のランディングページに誘導する。通知とページには、信頼感を与える銀行の公式アイコンが使用されている。フィッシングページのIPは、市販のVPNサービスから発信されており、不審なドメインでホストされている。すぐにリビアの Spider Network に登録された偽装ページにリダイレクトされ、そこに銀行の認証情報を入力するよう求められる。
医療機関
雇用主からのメールを装い、COVID-19 スクリーニングフォームへの記入を求めるメールを介して、従業員を狙うフィッシングキャンペーンが進行中であることを、Cofense の研究者が発見した。より本物に見えるように、米国保健福祉省が発行したガイドラインとプロトコルへの言及もなされている。メールには、悪質なウェブサイトをホストするGoogle Form ランディングページにユーザーをリダイレクトさせるリンクが含まれている。一般的なスクリーニングの質問に、機密情報を要求するもが混在しており、ユーザーはフォームへ入力完了後にデジタル署名を求められる。署名の後、データは攻撃者のC2に送信される。
教育機関
ベン・グリオン大学は、2021年1月6日にサイバー攻撃の標的にされ、結果、多くのサーバーが侵害されたと述べた。同大学は現在、いくつかの「稀に見る困難」を抱えながらも、通常通りに運営されていると付け加えた。インシデントの調査は現在進行中だ。
暗号通貨会社
BleepingComputer は、暗号通貨取引所 Coinmama に5つ星のレビューを残し、同サイトに「いいね!」とシェアすることを要求するメールを、問い合わせフォーム経由で受け取ったと報告した。差出人は、48時間以内に応じなければ、ポルノサイトから BleepingComputer のサイトへののバックリンクを数百万件作成すると脅迫した。BleepingComputer によると、他のウェブサイトのオーナーもこのメールを受け取っており、中には Trustpilot で Coinmama に否定的なレビューを残している人もいるという。Coinmama の CEO である Sagi Bakshi 氏は BleepingComputer に対し、Coinmama は今回の攻撃への責任を負っていないと通知した。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
本レポートの情報源について
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/threat-summary-08-14-january-2021/
SILOBREAKERについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。