ウィークリー・サイバーダイジェストについて
マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。
以下、翻訳です。
2021年3月11日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクトのトレンド
このテーブルでは、ここ1週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。
データ流出
今週報告されたデータ流出の一部を示しています。
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
日本
アーバンリサーチ
同社は、オンラインストアの顧客の個人データが、権限のない第三者によってアクセスされたと述べている。閲覧された可能性のあるデータは、氏名、住所、電話番号、Eメールアドレスなど。なお、クレジットカード情報への影響はない。(317,326)
米国
CompuCom
同社は、自社の環境にCobalt Strikeビーコンを設置した攻撃者によって侵入された。攻撃者は管理者権限を取得し、2021年2月28日にランサムウェア「Darkside」を展開した。BleepingComputerは、攻撃者がファイルを流出させた可能性が高いと述べてるが、まだ確認は取れていない。
The Center for Early Education
The Hollywood Reporterによると、このセンターのサーバーが最近侵害され、攻撃者はスタッフの給与に関する機密文書や保護者の連絡先をEメールで流出させた。
Cochise Eye and Laser
眼科と検眼のプロバイダーは、2021年1月13日にランサムウェア攻撃を受けた。患者データが流出した証拠は確認されていないが、その可能性は否定できないとのこと。氏名、生年月日、住所、電話番号、および一部の社会保障番号が漏洩した可能性がある。
Sandhills Medical Foundation
同社のサードパーティ・サプライヤーが、漏洩した認証情報を用いた攻撃を受けた。データは2020年11月15日に Sandhills 社のシステムから盗まれた。侵害されたデータには、患者の氏名、生年月日、住所、運転免許証、社会保障番号などが含まれる。
Saint Agnes Medical Center
姉妹医療機関であるSaint Alphonsus Health Systemの従業員のEメールアカウントが不正なユーザーによって侵害され、フィッシングメールの送信に使用された。影響を受ける可能性のあるデータには、患者の氏名、住所、電話番号などのデータが含まれる。
Elara Caring
従業員や患者の情報を含む同社の従業員のEメールアカウントの多くが侵害された。影響を受ける可能性のある情報には、住所、社会保障番号、運転免許証番号、財務情報などが含まれる。なお、これらの情報が攻撃者によってダウンロード、アクセス、または悪用されたことを示す証拠は見つからなかった。(100,400)
ProPath
同社は、2つのEメールアカウントが不正にアクセスされたことを公表した。これらのアカウントには、実験室や病理学的検査を受けた患者の個人情報または保護されるべき健康情報が含まれていた。影響を受けたデータには、氏名、生年月日、検査オーダーなどが含まれる。社会保障番号やパスポート番号、金融口座、その他の情報も影響を受けた可能性があるという。
Spirit Airlines
「Nefilim」ランサムウェアのオペレーターは、同航空会社から盗まれたとされるファイルを公開した。流出したデータには、2006年から2021年の間に同航空会社の航空券を購入した顧客の財務情報および個人情報が含まれる。TechNaduによると、これにはクレジットカードのリストのほか、Eメールアドレス、氏名、クレジットカード番号の一部などが含まれている。
Allergy Partners
2021年2月23日、ノースカロライナ州にある同クリニックの複数の拠点がランサムウェアの攻撃を受けた。この攻撃により、住所、電話番号、社会保障番号、そしておそらく一部の医療データを含む患者データが漏洩した可能性がある。
Standley Systems
「REvil」ランサムウェアのオペレーターは、ITサービスプロバイダーからサービス契約書、医療文書、従業員のパスポート、1,000以上の社会保障番号を盗んだと主張している。Standley社の顧客の個人データも入手したとされており、Chaparral Energy社、Crawley Petroleum社、Ellis Clinic社、EverQuest社、Oklahoma Medical Board社、W&W Steel社に関連する情報が含まれている。
Woodcreek Provider Services
Netgain Technology社へのランサムウェア攻撃で、Woodcreek社のデータが流出したと考えられている。影響を受けた情報は、557人の顧客および従業員の社会保障番号や銀行口座番号を含む、さまざまな個人情報、財務情報、教育情報、犯罪歴、健康情報だった。さらに25,360人の個人にも、データが影響を受けた被害者と関連しているため、通知がされる予定である。(25,917)
American Armed Forces Mutual Aid Association
同協会は、2021年1月28日に同協会システムへの不正なアクセスを検知した。侵入者は、顧客の氏名、住所、社会保障番号、銀行口座情報を閲覧または流出させた可能性がある。(161,621)
Verkada
Verkadaは、学校、病院、診療所、刑務所、そしてTeslaやCloudflareなどの企業が使用している15万台のセキュリティカメラに侵入したというハッカーの主張を調査している。「APT 69420 Arson Cats」は、このハッキングの犯行声明を出し、同社から約5GBのデータを収集したと述べている。
PEI-Genesis Inc
調査の結果、2020年6月23日から7月2日の間に、PEI社の従業員のEメールアカウントに不正な人物がアクセスしたことが判明。アクセスされた可能性のあるデータは、氏名、生年月日、社会保障番号、支払いカード情報などである。
Gab
2021年3月8日、GabのCEOであるAndrew Torba氏のアカウントが攻撃者に乗っ取られ、攻撃者は831枚の認証書類を所有していると主張した。その後、短期間の停止を経て、Torba氏はアカウントの権限を取り戻した。
Flagstar Bank
2021年3月5日、同銀行は、ランサムウェア「Clop」がAccellion社のファイル共有プラットフォームの脆弱性を悪用したことにより、同社のデータにアクセスされたことを公表した。影響を受けた情報には、社会保障番号、氏名、住所、電話番号、納税記録など、顧客や従業員のデータが含まれる。
Pan-American Life Insurance Group
「REvil」ランサムウェアのオペレーターは、同社から170GBのデータを盗んだと主張している。漏洩したファイルには、財務報告書や健康関連のデータが含まれていると報告されている。
myNewJersey
攻撃者は、ダークウェブから入手したログイン情報を使用して、州職員のアカウントを標的にしたと報告されている。このアカウントには、社会保障番号、生年月日、年金情報などの個人情報や財務情報が保存されている。同局によると、攻撃者は比較的少数のユーザーアカウントにアクセスしたとのこと。
Premier Diagnostics
Comparitech社によると、このCOVID-19テストサービスは少なくとも1週間、患者のデータをオンラインで公開していた。データは2021年3月1日に保護された。流出した情報は、パスポートや医療保険証を含む患者の写真付きIDスキャンの画像20万7,524枚が含まれていた。2つ目のバケットには、氏名、生年月日、テストサンプルのIDが含まれていた。(52,000)
Walmart
Walmartは、2021年1月20日に同社のデータホスティングサービスの1つが侵害されたことを知らされた。このインシデントでは、権限のない者がサービスにアクセスし、記録を盗んだとされている。影響を受けた可能性のある情報には、Walmartの薬局の患者の氏名、住所、生年月日、電話番号、その他のデータが含まれる。
シンガポール
シンガポール航空
同航空会社は、旅客サービスシステム(SITA PSS)のサーバーが侵害され、KrisFlyerとPPSの会員に影響が出たと発表した。影響を受けた情報には、会員番号やランクステータス、一部の会員名などが含まれる。(580,000)
ニュージーランド
ニュージーランド航空
同社は、スターアライアンス加盟のパートナー航空会社の1社がデータ流出の被害に遭ったとして、データ流出の事実を発表した。このデータ侵害は、「エアポイント(同社のマイル)のお客様のごく一部にしか影響しない」と報告されている。
スイス
SITA Passenger Service System
SITA PSSのサーバーが、データセキュリティ・インシデントの影響を受けている。同社の広報担当者によると、ルフトハンザ、ニュージーランド航空、シンガポール航空、スカンジナビア航空、キャセイパシフィック航空、済州航空、マレーシア航空、フィンランド航空が影響を受けているとのこと。また、全日本空輸と日本航空も影響を受けていると報じられている。
英国
不明
ガーディアン紙の報道によると、英国の援助プロジェクトに関連する情報をハッカーがどのように取得したかを、外務・英連邦・開発省と国家サイバーセキュリティセンターが調査しているという。流出した情報には、氏名、勤務先、連絡先、所在地、国籍などが含まれている。
West Ham United
Forbesは、クラブのウェブサイトにDrupalからの管理者メッセージが表示されていたことを報告した。Forbesはサイトにアカウントを作成し、ログインするとWest Hamのサポーターの詳細情報が表示された。流出したデータは、氏名、生年月日、電話番号、住所、メールアドレスなどである。
オランダ
Nuffic
外国人認証評価サービスは、セルビアにある同社のソフトウェア供給業者が見た顧客データの匿名化に失敗(詳細不明)したことに起因するデータ流出の影響を受けた。このデータは2020年8月から閲覧可能でしたが、2021年2月9日に流出が発覚した。(18,000)
不明
不明
Cyble Incのリサーチャーは、ロシア語を話す脅威アクターが「LUCIFER6」という偽名で、社会保障番号、氏名、住所、メールID、銀行口座の詳細などを販売していることを確認した。データは、2018年から2020年の間に収集されたとされている。(16,000,000)
政府に関連して言及された攻撃タイプ
このチャートは政府に関連して、先週トレンドとなった攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
PRODAFTの研究者は、「FluBot」マルウェア・ボットネットの活動を分析した。このボットネットは、2ヶ月間で60,000台以上のAndroidデバイスに感染させ、被害者の97%はスペインにいた。このマルウェアのC2によって1,100万件以上の電話番号が収集されており、6ヶ月以内にスペインの全人口を標的にすることが可能であると疑われていた。このマルウェアには、被害者のアドレス帳をC2で収集し、SMSスパムで被害者の連絡先に「FluBot」を配布するワームのような機能が含まれている。ユーザーから関連する権限を与えられると、「FluBot」は自身をデフォルトのSMSアプリに設定したり、USSDや電話をかけたり、正当なアプリの上にフィッシング画面を表示したりすることができる。2021年3月2日、このマルウェアを管理していた疑いのある4人の男がバルセロナでカタルーニャ州警察に逮捕された。
政府
プラハ市長のZdeněk Hřib氏によると、「大規模な」サイバー攻撃が行政システムを標的としており、予防措置としてEメールシステムを一時的に停止しているとのこと。この攻撃によるデータの損傷はなかったと報告されている。Jana Maláčová労働社会問題大臣は、同省も標的にされたと述べている。被害を受けた組織と協力しているチェコ共和国の国家サイバー・情報機関は、攻撃の範囲に関する詳細を明らかにしていない。この事件の背後に誰がいるのかは依然として不明である。
医療
COVID-19救済法案、ワクチン、変異種のニュースに対する人々の関心を悪用した複数のキャンペーンが行われていることを、プルーフポイントの研究者が確認した。研究者らは、単一のソーシャル・エンジニアリング・ルアーをこれほど長期間使用した攻撃をこれまでに見たことがないと指摘している。最近観測されたキャンペーンの中には、「Dridex」、「Amadey downloader」、「AsyncRAT」を配信する3つのマルウェアキャンペーンがある。また、2件のビジネスメール侵害攻撃と1件の認証情報フィッシング攻撃も観測された。
テクノロジー
KrebsOnSecurityは、匿名の情報筋からの情報として、中国の「Hafnium」グループが、最近公開されたMicrosoft Exchange Serverの4つのゼロデイ問題を悪用して、米国内の少なくとも3万の組織、および世界中で数十万の組織をハッキングしたと伝えた。ESETの研究者によると、欠陥を悪用したグループは「Hafnium」のほかに、「Tick」、「LuckyMouse」、「Calypso」、「Websiic」、「Winnti Group」、「Tonto Team」、「DLTMiner」、「Mikroceen」など。ESETによると、「DTLMiner」以外のグループは、いずれもスパイ活動に重点を置いているとのことだ。
関連記事
暗号資産
Aquasecの研究者は、2020年9月に初めて発見された、GitHubとDocker Hubの自動ビルドプロセスを標的とした脅威アクターによるキャンペーンの再発を検知した。直近のキャンペーンでは、脅威アクターは4日間で92の悪意のあるDocker Hubレジストリと、92のBitbucketリポジトリを設定し、そのリソースを暗号通貨のマイニングに利用している。このキャンペーンでは、攻撃者が偽のEメール、Bitbucket、Docker Hubのアカウントを設定し、リポジトリやレジストリーを良性のものに見せかけて検知を逃れている。脅威アクターはサービスプロバイダーの環境にイメージを構築し、そのリソースを乗っ取るという手法を使っている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/threat-summary-05-11-march-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/