T-Mobile、データ侵害による漏洩を確認

概要

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Volunteers of America Chesapeake & Carolinas

同組織によると、フィッシング事件により一部のメールアカウントの情報に不正にアクセスされたという。これには、氏名のほか、社会保障番号、金融または当座預金口座番号、支払カード番号、運転免許証番号、限定された医療情報などが含まれる。

Home for Little Wanderers

マサチューセッツ州に拠点を置く同組織は2020年11月10日から12月31日の間に、従業員のメールアカウントの一部が流出したことを発見。メールや添付ファイルが閲覧されたかどうかについては不明。

Summit Behavioral Healthcare

2020年5月に初めて検出された不審な活動を調査した結果、2人の従業員のメールアカウントが許可されていない者によりアクセスされていたことが判明。アカウントには一部の患者の保護された健康情報を含まれていた。

Jacobson Memorial Hospital and Care Center

2020年8月5日ごろ、ノースダコタ州の病院は従業員のメールアカウントに関わる事件により、現在および過去の患者の個人情報が許可されていないものに流出している可能性があることを発見。流出している可能性のある情報には、社会保障番号、クレジットカード番号、銀行口座番号などが含まれている。（1,547人）

T-Mobile

T-Mobile、詳細不明の人数の顧客の名前や住所、アドレス、メールアドレス、社会保障番号などの情報がデータ侵害による漏洩を確認。当該データは、SIMスワップ攻撃に利用されている。

Gab

活動家グループ「Distributed Denial of Secrets」はは、ソーシャルネットワークから収集した「GabLeaks」と呼ばれる70GBのデータセットを公開。公開されたデータには、公開および非公開の投稿、ユーザープロファイル、ハッシュ化されたパスワード、ダイレクトメッセージ、プレーンテキストパスワードが含まれている。

Mariana Tek

サイバーニュースの研究者は公的にアクセス可能なソフトウェア会社の所有するAWSサーバーを発見し、150万人以上のユーザーの記録が含まれるCSVファイルを発見しました。流出した情報には、ユーザー名、フルネーム、住所、メールアドレス、電話番号などが含まれてた。

CSX

鉄道事業者は、同社のアクセリオン社製のソフトウェアプロバイダへの侵害によりデータセキュリティインシデントに見舞われた。Clopランサムウェアのオペレーターがスクリーンショットを投稿し、年金受給者や従業員名簿などの情報を含むスプレッドシートを公開した。

Fisher-Titus Medical Center

2020年8月から10月にかけて、権限を持たない個人が従業員の電子メールアカウントにアクセスしていた。影響を受けた可能性のある個人データには、患者のフルネーム、社会保障番号、クレジットカードやデビットカードの番号、一部の医療データが含まれる。

Morgan County

ミズーリ州の郡から盗まれたデータが、ランサムウェア攻撃の後に「DoppelPaymer」のオペレーターによってオンラインに投稿された。このインシデントは機密データの盗難に関連している。

Steris Corporation

ランサムウェア「Clop」のオペレーターが、米国の医療機器会社Steris Corporationのデータを保有していると主張。盗まれたとされる文書には、機密の研究報告書や製品の極秘製造方式などが含まれている。

AllyAlign Health

同社は、2020年11月13日に発生したランサムウェア攻撃未遂事件について、会員やプロバイダーに通知した。流出した可能性のある情報には、姓名、住所、生年月日、社会保障番号などが含まれているという。(76,348人)

Atlanta Allergy & Asthma

DataBreaches[.]netは、ランサムウェア「Nefilim」のオペレーターが同社をデータ流出サイトに追加したと報じた。同グループはまた、同社から盗まれたとされる2.5GBのデータをアップロードした上で、合計約19GBのデータを保有していると主張。流出したデータの中には、数千人の患者の個人的な健康情報を含む597個のファイルが含まれているという。

New Jersey University

同病院は、2020年9月14日に特定されたシステムへの不正アクセスのインスタンスを公開。患者名、社会保障番

American Patriots Three Percent

正体不明の活動家グループは、AP3%のメンバーシップ・プラグインの設定ミスにより、メンバーのデータが流出したとThe Guardian紙に伝えた。AP3%のメンバーは、個人データを特にサイトには提供しておらず、国家規模の組織から収集されたと考えられていると述べている。

CallX

vpnMentorの研究者が、テレマーケティング分析企業の所有するセキュアでないAWS S3バケットを発見。露出したバケットには11万4000以上のファイルが含まれ、サイズは485GB。漏洩したデータには電話の音声録音やテキストチャットのトランスクリプトが含まれており、ここから名前や電話番号、住所などが流出した。

Ringostat

WizCaseの研究者は、コールトラッキングおよびマーケティング支援を行う企業が所有するElasticSearchデータベースの漏洩を発見。このデータ漏洩により、約1300万件の電話番号、800万件の録音音声などを含む約 20 億件の記録情報が流出した。（67,000人）

インド

Zee5

セキュリティ研究者のラジシェカール・ラジャハリア氏はメディアサービスに属するユーザーデータが流出していることを発見。2021年2月23日には、氏名や電話番号、メールアドレスなどが流出。（9,000,000人）

ジャマイカ

JamCOVID

2021年2月25日、ジャマイカの「JamCOVID」というアプリとウェブサイトが稼働を停止。セキュリティ研究者がTechCrunchに伝えたところによると、アプリは旅行者に発令された50万件以上の検疫命令を流出させたという。流出した情報は2020年3月まで遡ったものであるという。

アイルランド

Health Service Executive

身元不明の個人が「人為的なミス」によってHSEシステムにアクセスし、COVID-19ワクチンを受けた個人の個人情報を閲覧できたと報告。漏洩したデータには、PPS番号、住所、氏名、生年月日、電話番号などが含まれている。これらのデータは、HSEシステムにデータをアップロードすれば、誰でもアクセスすることができると報告されている。HSEの広報担当者は、データ漏洩については認識していないと述べている。

フィリッピン

Philippine’s Civil Service Commission

「IamNoobie」という名前を使うアクターが委員会のウェブサイトに詳細不明の脆弱性の発見により、パスポートのコピーや会社の身分証明書、公的な領収書、個人のユーザー情報にアクセス可能になったと主張している。アクターはサイトの安全性を確保したと主張しているが、すでに別のグループが一部のユーザーデータを流出させているという。

オランダ

Ticketcounter

2021年2月21日、脅威となるアクターが企業から盗まれたデータを消去する前に広告を出した。ハッカーはBleepingComputerに190万件のユニークなメールアドレス、氏名、ハッシュ化されたパスワード等を含むデータベースが非公開で販売されていることを伝えた。

Stadgenoot

このアムステルダムの住宅公社のウェブサイトがサイバー攻撃を受け、データが盗み出された。盗まれた情報には、氏名、住所、メールアドレス、そして場合によってはナンバープレートの番号や年収情報が含まれている。（30,000人）

オーストラリア

Transport for NSW

Clopランサムウェアの運営者は、Accellion FTAへの攻撃で同庁から盗んだと主張するファイルのスクリーンショットを公開した。これには、機密文書や運営委員会の文書、電子メールなどが含まれている。

Oxfam Australia

脅威アクターがユーザー記録170万件を販売している様子が確認されたのち、この組織はデータ侵害インシデントを認めた。2021年1月20日に、寄付者情報を含むデータベースに不正アクセスされた。データベース内の情報には、氏名や住所、電話番号などが含まれている。

ノルウェー

Hurtigruten

2020年12月に発生したクルーズ会社に対するランサムウェア攻撃により、2隻の船の元乗客の顧客データが流出。影響を受けた可能性のある情報には、顧客の氏名、パスポート番号や有効期限、電子メールや現住所、電話番号などが含まれる。

ブラジル

Prisma Promotora

vpnMentorの研究者は、同社が使用しているEnterprise Resource Planningシステムに属する安全対策の施されていないAWS S3 バケットを発見。S3バケットには、フルネーム、メールアドレス、電話番号、デビットカード情報、ID番号、写真など、数千人の個人を特定できる情報が含まれていた。

スイス

Adecco Group

CyberNewsが、人材プロバイダーから盗まれたハッキングフォーラムのユーザー広告データを発見。この情報には、ペルー、ブラジル、アルゼンチン、コロンビア、チリ、エクアドルの500万件の記録情報が含まれていると報告されている。影響を受けたデータには、フルネーム、ハッシュ化されたパスワード、メールアドレス、IDなどが含まれる。

マレーシア

Malaysia Airlines

第三者ITサービスプロバイダにおける詳細不明のデータ侵害により、顧客データが漏洩。漏洩した可能性のあるデータには、名前、生年月日、連絡先の詳細など、2010年から2019年の間に活動していた航空会社のマイレージプログラムEnrichメンバーの詳細が含まれます。

英国

Polecat

セキュリティ研究者のAta Hakcil氏は、安全対策の施されていないデータ分析会社が所有するElasticsearchサーバーを発見した。流出したサーバーには、2007年までさかのぼる記録や、さまざまなサイトから収集したツイートや投稿のほか、従業員のユーザー名やハッシュ化されたパスワードが含まれていた。データは連続的な攻撃で侵害され、そのうちの1つにはMeow botが関与していた。

Npower

同エネルギー供給企業の公式アプリが、クレデンシャル・スタッフィング攻撃の被害に。アクターは一部の顧客の連絡先詳細、住所、銀行口座番号の一部、ソートコードへのアクセス権を獲得した模様。

医療に関連して言及された脅威アクター

このチャートは医療に関連して、先週トレンドとなった脅威アクターを示しています。

各業界の週間概況

先週の各業界に関わるニュースと情報です。

政府

「Kaspersky」の研究者が、2020年初頭に「Lazarus Group」が「ThreatNeedle」を使用して防衛産業を標的にし始めたと報告。研究者がManuscryptの高度なバージョンと断定しているこのマルウェアファミリーは、以前にも暗号通貨事業者やモバイルゲーム制作企業を攻撃するために同グループによって使用された。十数カ国の組織に影響を与えたこの攻撃は、公的情報源から取得した個人情報を利用したスピアフィッシングメールから始まったという。このマルウェアは、受信したコマンドを実行したり、システムをプロファイルしたり、ファイルを操作したりすることができるもの。エクスプロイト行為に続いて、攻撃者はクレデンシャルハーベスティングツール「Responder」を投下し、ワークステーションからサーバーホストへと横方向に移動し、ネットワークのセグメンテーションを超越して情報を盗み出している。

医療

Cyfirmaによると、中国の支援する脅威アクター「Stone Panda」は現在、インドのワクチン製造業社「Bharat Biotech」と「Serum Institute of India (SII)」のITシステムを標的にしているとのこと。 「Bharat Biotech」は COVAXIN ワクチンを生産中、「SII」 は現在 AstraZeneca ワクチンを生産中であり、Novavaxを製造する予定である。脅威アクターは、両社のITインフラストラクチャとサプライチェーンソフトウェアに多数のギャップと脆弱性を発見したようだ。Cyfirmaの最高経営責任者であるKumar Ritesh氏は、攻撃者の目的は知的財産を流出させ、インドの製薬会社に対して競合上優位になることだと述べた。

テクノロジー

マイクロソフトが、オンプレミスのエクスチェンジサーバー攻撃に使用されている複数のゼロデイエクスプロイトを公開。マイクロソフトは、このキャンペーンは中国で活動している国営グループ「HAFNIUM」によるものであると確信している。問題をエクスプロイトすることで、攻撃者が電子メールアカウントにアクセスし、ウェブシェルやさらなるマルウェアを展開できるようになる可能性がある。Volexityによると、「China Chopper」の亜種である「ASPXSPY」と「SPORTSBALL」と呼ばれる新しいウェブシェルが攻撃者によって使用されたとのこと。このグループは、感染症研究者、法律事務所、防衛システムの請負業者、NGO、高等教育機関、政策シンクタンクなど、米国の複数のセクターにまたがる事業体を標的としている。ESETによると、「APT27」、「Bronze Butler」、「Calypso」、および国家に支援されているその他の正体不明グループも現在、欠陥の1つを積極的に悪用しているという。この欠陥に対するパッチが公開中。

銀行・金融

BleepingComputerおよびセキュリティ研究者のGermán Fernández氏は、金銭的動機を持つランサムウェアオペレーター「Hotarus Corp」が、エクアドルの経済財政省の使用するサイトにRonggolaweランサムウェアを展開したと報告。攻撃の後、同ハッカーは6,632人のログイン名とハッシュ化されたパスワードを含むテキストファイルをハッカーフォーラムに投稿。その後、同グループはエクアドル最大の銀行であるBanco Pichinchaを標的にした。銀行は、この攻撃者がマーケティングパートナーをハッキングし、顧客にフィッシングメールを送ったと述べているが、「Hotarus Corp」はこれに異議を唱え、自身がマーケティング会社を利用して銀行のシステムに侵入し、ランサムウェアを展開したのだと主張している。彼らは、経済財務省の従業員情報、電子メール、契約書、機密文書、Banco Pichinchaの16億360万6,026万件の顧客記録、58,456件の機密システム記録を盗んだと主張。現在のところ、攻撃者の主張の正当性は検証されていない。

重要インフラ

「Insikt Group」の研究者が、インドの電力部門を標的とした中国関連脅威アクター（通称「RedEcho」）を観測。同アクターはShadowPad C2サーバーを使用し、インドの電力部門の10組織と2海港を標的にした。 その中には、電力網を動かすインドの5つの地域負荷配分センターのうち4つが含まれていた。この攻撃は、「APT41」や「Tonto Team」などの中国系グループとインフラを共有している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-26-february-04-march-2021/

SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。