アラバマ州大学　1月にフィッシング攻撃の標的となり、複数のメールアカウントが侵害

概要

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

インド

インド政府

Sakura Samuraiの研究者、政府系ウェブサイトで機密性の高い個人情報の漏洩につながる多数の欠陥を特定。漏洩インシデントの中には、35件のクレデンシャルペア、3件の機密ファイルの公開、5件のサーバの秘密鍵ペア、リモートコード実行の欠陥などが含まれている。暴露されたデータには、13,000件以上の個人情報記録、数十件の機密性の高い警察報告書、財務記録のバックアップなどが含まれている。

Indian Railways

インド鉄道、「様々な IT アプリケーションにおける」違反に関連する事件が多数発生したことを発表した。侵害範囲や影響を受けたアプリケーションの正確な詳細は明らかにされていない。侵害のいくつかは、その従業員の一部による「IT資産の不適切な取り扱い」が原因であるとされている。

West Bengal Health and Family Welfare Department

セキュリティ研究者のSourajeet Majumde氏、同部門のWebサイトがCOVID-19テストデータを流出させていることを発見した。テスト結果にリンクしているURLを列挙して結果を取得することができた。暴露されたデータには、氏名、年齢、性別、自宅の一部住所、COVID-19テスト結果などが含まれている。

米国

Grand River Medical Group

従業員のアカウントに不正アクセスを検出、患者の名前、社会保障番号、生年月日、住所などが漏洩した可能性がある。（34,000人）

Sequoia Capital

コンペイ、2021年2月19日、従業員のメールアカウントを狙ったフィッシング攻撃を公開。同社の投資家の個人情報や財務情報の一部が、攻撃を受けて第三者にアクセスされた可能性があるという。

University of Alabama in Hunstville

同大学は2021年1月にフィッシング攻撃の標的となり、複数のメールアカウントが侵害され、氏名、生年月日、社会保障番号が漏洩した可能性がある。銀行やカード情報には影響がない。（272人）

Hyundai Motor America

ランサムウェア「DoppelPaymer」運営者、物流会社のヒュンダイ・グロヴィスとそのトラック運送パートナーのデータを流出させた。同社はIT障害が発生したと主張し、ランサムウェア攻撃の影響を受けたことは否定した。

Pentair

「CLOP」ランサムウェアのデータ漏洩サイトに同社が追加された。漏洩サイトに掲載された最近のリストには、Accellionの侵害の影響を受けた企業が含まれている。

Enders

2020年5月7日、保険会社は従業員のメールアカウントの1つが漏洩していることを発見。影響を受けた可能性のあるデータには、個人の名前、生年月日、社会保障番号、運転免許証番号、パスポート番号などが含まれている。

Covenant HealthCare

2020年5月4日に脅威アクターが従業員の2つのEメールアカウントにアクセスしていたことを発見。影響を受けたアカウントには、氏名、住所、生年月日、社会保障番号、運転免許証番号など、一部の個人情報が含まれていた。

Clearfield County

クリアフィールド郡、2021年1月9日にシステムに対するサイバー攻撃により、個人情報に関わるデータ侵害が発生したと表明し、影響を受けた可能性のある個人に通知した。影響を受けたデータには、氏名、生年月日、住所、社会保障番号などが含まれている。

英国

Scottish Borders Council

複数の個人に3通のメールを誤って送信し、全受信者のメールアドレスが公開された（600人）

シンガポール

StarMed Specialist Centre

ランサムウェア攻撃の標的にされ、患者名、NRIC番号、生年月日、一部の健康データなどを含むデータベースが暗号化された。（373人）

フィリピン

Cashalo

この金融テクノロジープラットフォームは、顧客データベースのアーカイブが不正にアクセスされた。「creepxploit」というエイリアスのもと活動している脅威アクターが、ユーザー名、パスワード、メールアドレス、電話番号、デバイスの識別情報など、Cashaloのユーザーデータを販売。（3,300,000人）

フランス

不明

サイバー犯罪フォーラム上の脅威アクター「FR medecine related database」、保健省データベースを宣伝しているとCERT-FRが警告。販売者は、データベースにはユーザーアカウントのパスワードとEメールアドレスのリストが含まれていると主張している。（50,000人）

Chalon-sur-Saône

2021年2月20日、市のシステムが「暗号ウイルス」に襲われたと発表。Databreaches[.]netによると、この事件ではいくつかのファイルが暗号化されており、ITスタッフはデータが流出した可能性があると述べている。

不明

ニュースサイトLibérationとZataz、フランス人の医療データが少なくとも7カ所でネット上に流出したと報じた。名前や電話番号、住所、医療情報などを含むデータは、フランス北西部の約30カ所の医療機関から盗まれたという。情報は2015年から2020年10月までにさかのぼり、その間、企業はフランスのDedalus社の管理ソフトウェアを使用していたという。（491,840人）

ギリシャ

Hellenic Defence Systems

同社に対するランサムウェア攻撃が報告されたことを受けて、ギリシャ国防省と警察による捜査が開始。外国のサイバースパイ活動の懸念が報告されている。機密性の高いデータを保存されている「生産部分」のシステムは攻撃者にアクセスされていない。

ジャマイカ

Amber Group

政府関連の請負業者が所有するストレージサーバー、TechCrunchの研究者によりリークが発見された。流出したデータには、7万件以上のCOVID-19の陰性の検査結果、名前、生年月日、パスポート番号が記載された42万5000件以上の移民文書、25万件以上の検疫命令などが含まれていた。政府は、データが抽出されたことを示唆する証拠は見つからなかったと述べている。

カナダ

Bombardier

ボンバルディア社、侵害が発生したことを表明、サードパーティ製のファイル転送アプリケーション（Accellion）の脆弱性が原因であると述べた。コスタリカの従業員の個人データが流出し、盗まれたデータの一部はその後、CLOPランサムウェアの運営者によって公開されている。（130人）

CSA Group

「CLOP」ランサムウェアのデータ漏洩サイトに同社が追加された。漏洩サイトに掲載された最近のリストには、Accellionの侵害の影響を受けた企業が含まれている。

オーストラリア

Transport for NSW

Accellion社が侵害されたため、データの一部が盗まれるなどの影響を受けたことを表明。違反は同社のAccellionサーバーに限定されていた。

アンゴラ

Ministry of Finance of Angola

2021年2月18日、同社の技術プラットフォームが未知のサイバー攻撃の標的となったことを明らかにした。プラットフォームは、Eメールや共有フォルダにアクセスしていると報じられている。

オランダ

Netherlands Organisation for Scientific Research

NWOは2021年2月8日、ランサムウェア「DoppelPaymer」の攻撃を受けたことを明らかにした。盗まれたNWOの「機密人事文書」が2021年2月24日に流出した。

トルコ

İnova Yönetim

2018年から2020年までの15,000件の裁判事例情報を含むバケットが、AWS S3の設定ミスにより公開されているとWizCaseの研究者が発見。その中には、氏名や国民ID番号など、被害者の個人を特定できる情報が含まれていた。また、一部のファイルでは、目撃者や原告などのデータも公開されていた。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

銀行・金融

アカマイの研究者は、金融機関やその他の機関をターゲットにしたユニークなキットを販売するフィッシングキット開発会社「Kr3pto」の活動を追跡した。研究者たちは、2020年5月までさかのぼり、英国の8つの銀行ブランドをターゲットにした「Kr3pto」キットを使用して7,600以上のドメインが展開されていることを発見し、発見を回避するためにコマーシャルWebホスティングを使用している。このキットは通常、SMSメッセージでユーザーをターゲットにしており、不審な受取人要請の偽の通知を配信し、添付のリンクを介してフィッシングページに被害者を誘導している。

政府

ウクライナの国家安全保障・防衛会議は2021年2月18日、自社のサイトやウクライナの治安部に属するサイト、その他の戦略的企業や国家機関が標的にされたと発表した。攻撃は、脆弱な政府系サーバーに感染し、分散型サービス拒否攻撃（DDoS）に利用できるボットネットに加えようとした。同協議会は、「ロシアのトラフィックネットワークに属するアドレスが、攻撃の発信源となっていた」と述べている。

重要インフラ

Austin Energy社になりすました詐欺師が、延滞していると思われる請求書を支払わない限り、ユーザーの電力を切断すると脅していると警告。同社は、2020年3月時点では断電は行っていないと指摘している。また、米連邦取引委員会（FTC）は、電話やSMSメッセージ、Eメールで電力会社になりすまし、異常気象を利用した詐欺師に警告を発している。詐欺師は支払いや個人情報の取得を求めており、ギフトカードやキャッシュリロードカード、送金、クリプトカレンシーなどを介して支払いを求めることが多いという。

テクノロジー

Minerva Labsの研究者、中国唯一の公式代理店である中成ネットワークが配布しているAdobe Flash Playerにアドウェアを発見。FlashHelperServiceという実行ファイルには、発信元のサイトからファイルをダウンロードするDLLが含まれている。このサービスは、ポップアップを生成するバイナリをロードし、ブラウザを開き所定のタイムスタンプで広告を表示。このアドウェアは、Windows API関数ShellExecuteWを利用して、暗号化されたJSONから取得したURLでInternet Explorerを開く。研究者は、このアドウェアのフレームワークが悪用されれば、攻撃者は多数の中国の組織にバックドア持つことになるだろうと指摘。

暗号通貨

2020年12月下旬、長期的に運営されている暗号マイニングボットネットの運営者が、ブロックチェーン上でバックアップの C2 IP アドレスを偽装し始めていると、Akamaiの研究者により確認された。この新しいバージョンのマルウェアには、ビットコイン（BTC）のウォレットアドレス、ウォレットチェック APIのURLを発見した。攻撃者は、APIからウォレットデータをフェッチしてIPアドレスを計算することで、永続性を実現し、さらなる感染操作を行っていた。ウォレットに少量のBTCを押し込むことで、攻撃者は感染したシステムを復元することができた。研究者たちは、これまでに見られなかったこの方法により、感染に対抗することが困難になると警告。Akamaiは、このキャンペーンの運営者は過去 3 年間で 3 万ドル以上のMoneroを採掘したと推定している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-19-25-february-2021/

SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。