Nikkei China、一部メールアカウントで不正アクセス　法人顧客カード情報にも影響か

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

以下、翻訳です。

2021年3月18日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。

データ流出

今週報告されたデータ流出の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

日本・中国

Nikkei China

一部メールアカウントへの不正アクセスが複数発見された。このインシデントは2020年10月から始まったと考えられる。影響を受けた可能性のあるデータは、氏名、メールアドレス、会社名、住所、電話番号など。24件の事例では、法人顧客のクレジットカード情報も影響を受けた可能性がある。

米国

Molson Coors Beverage

同社は醸造、生産、出荷の各業務が、サイバー攻撃の影響を受けたことを明らかにした。BleepingComputerは、サイバーセキュリティ業界の複数の匿名の情報源から、今回のインシデントはランサムウェアによる攻撃であるとの情報を得たと報じている。

Trillium Community Health Plan

同組織は、第三者のファイル転送アプライアンスであるAccellionへの侵害により、データの一部が影響を受けたことを報告した。流出した可能性のあるデータには、連絡先情報、保険ID番号、生年月日、健康情報などが含まれる。

Southern Illinois University (SIU) School of Medicine

SIUのデータの一部が、第三者のファイル転送アプライアンスであるAccellionへの侵入により影響を受けた。影響を受けた可能性のあるSIUのデータには、患者の氏名、生年月日、社会保障番号、運転免許証、治療法、保険情報などが含まれている。

Mobile Anaesthesiologists

同社は、2020年12月14日以前に発生したデータ侵害について、患者に通知している。今回の流出により、権限のない個人が、氏名、健康保険情報など同社データの一部を取得した可能性がある。

Security Industry Specialists

2020年6月1日、同社のシステムがランサムウェアで攻撃された件について調査を行ったところ、攻撃者がアクセスしたフォルダの中に個人情報が存在していたことが判明した。これには、名前と、金融機関の口座番号やクレジット/デビットカードの番号と紐付けされたその他の個人識別情報と、口座のアクセスコードなどが含まれていた。(36,762)

St Bernards Total Life Healthcare

PeakTPA は、2020 年 12 月 28 日頃に発生したランサムウェア攻撃についてTLH に通知した。このインシデントで、氏名、生年月日、住所、社会保障番号、診断コードなどのTLH加入者データがアクセスされたと報じられている。

Preferred Home Care of New York

同ホームケアの代理店は、2021年1月8日に発生したデータ侵害について個人に通知した。アクセスされた可能性のあるデータには、氏名、メール、財務情報、社会保障番号、医療情報などが含まれる。DataBreaches[.]netによると、同社はランサムウェア「Sodinokibi」のリークサイトに掲載されていたとのこと。(92,283)

Overseas Service Corporation

同社は、「少数の」同社メールアカウントを対象としたフィッシングメール・インシデントを公表した。攻撃の結果、これらアカウント内の情報（氏名、社会保障番号、金融・決済カード番号、運転免許証番号、限定的な医療情報など）が不正にアクセスされた。

Child Focus

オハイオ州にある子供と家族を支援する非営利団体が、マルウェアを使った攻撃の標的となり、顧客の名前、生年月日、社会保障番号、メディケード番号、健康情報などが流出した。(2,716)

New London Hospital

ニューハンプシャー州のこの病院は、2020年7月に発生した不正アクセスによって被害を受けた。患者の名前、限られた人口統計情報、社会保障番号を含むファイルが侵入者によってコピーされた可能性がある。(34,878)

PeakTPA

この高齢者介護企業は、2020年12月31日に自社サーバーに対する「Netwalker」ランサムウェアの攻撃を確認した。2台のクラウドサーバーから盗まれたデータには、5万人の患者の社会保障番号、氏名、住所、診療情報などが含まれていた可能性がある。

 Guns[.]com

ハッカーフォーラムのユーザーが、この銃のマーケットプレイスに属するデータベースをリークした。このデータベースには、ユーザーのEメール、住所、フルネーム、電話番号、一部の銀行口座情報などが含まれる。このリークには、このサイトの管理者のWordPress、MYSQL、平文でのAzure Cloudの認証情報も含まれている。同サイトは今回の漏洩を認め、サードパーティベンダーの責任であるとした。(400,000)

Metro Presort

2019年に同社に対して行われたランサムウェア攻撃の再調査で、氏名、住所、患者および治療プランのIDまたはアカウント番号などがアクセスされた可能性があることが判明した。(38,387)

Colorado Retina Associates

この眼科医院は、2021年1月12日に発見されたフィッシング攻撃の標的となった。アクターは2つのユーザーアカウントをコピーしたが、これらには患者の連絡先、生年月日、臨床データ、および少数の社会保障番号、運転免許証、支払い情報が含まれていた。(26,609)

Aljex

Website Planetの研究者は、この輸送管理ソフトウェア会社が保有する、誤って設定されたAWS S3バケットが公開されているのを発見した。このバケットには、慎重に取り扱うべき発着地データを含んだ貨物の詳細、従業員や営業担当者の詳細、顧客の名前や電話番号などが含まれていた。(4,000)

Fiserv

同社は、顧客向け自動生成メールにプレースホルダーのURLが含まれていた、5つのクライエントを発見した。この結果、一部の顧客がCashedge[.]com、Netspend[.]com、TCF National Bank、Union Bankからのメールを受信し、顧客データが流出した。Cashedge[…]comに関しては、流出データにプランID、送金額、口座番号の下4桁、メールアドレスなどが含まれていた。

フィリピン

政府

2021年3月10日に行われた、政府のウェブサイトに対するDDoS攻撃について、「CyberPH for Human Rights 」が犯行声明を出した。この攻撃は、悪化する同国の人権状況に抗議するために行われたとされている。攻撃者は不特定多数のデータを盗んだと主張している。

税関

アクターの「Pinoy Clownsec」は、SQLインジェクション攻撃で税関に侵入した。このグループのメンバーは、フィリピンに荷物を送ったことのある個人に関する、366,000件以上の機密記録を含んだデータベースにアクセスした。このデータベースにはその後、「Phantom Troupe」と呼ばれる別のアクターがアクセスし、サーバーに影響を与える脆弱性にパッチを当てたとされている。「Pinoy Clownsec」は、このデータベースはまだ脆弱だと主張している。

ドイツ

Flink

Zerforschungの研究者は、このデリバリーサービスが保有するサーバーが公開されているのを発見した。このサーバーには、顧客の氏名、住所、電話番号、メールアドレス、クレジットカードの下4桁などのデータが保存されていた。

カナダ

歳入庁(CRA)

CRAは、悪意のあるアクターがユーザーIDとパスワードへのアクセスを取得したことが判明したため、予防措置としてユーザーをオンラインアカウントからロックしている。同庁は、今回の情報漏洩がCRAの漏洩によるものではないと述べ、データはメールによるフィッシング詐欺や第三者によるデータ漏洩によって入手された可能性が高いとしている。(800,000)

アイルランド

Fastway Couriers

この宅配会社のアイルランド支店が、2021年2月25日に確認されたサイバー攻撃の標的となっていた。このインシデントでは、2021年1月中旬から2月中旬の間に、荷物を受け取った顧客の氏名、住所、連絡先などのデータが流出した。(446,143)

イスラエル

KLS Capital Ltd

「Black Shadow」のハッカーたちは、この自動車金融会社のサーバーをハッキングしたと発表した。続いてこのグループは、身分証明書、手紙、請求書、同社CEOであるOmer Maman氏の個人情報などのデータを公開した。

オーストラリア

Services Australia

同企業は、キャッシュレス・デビットカードのスキームの詳細を記載したメールをノーザンテリトリー準州の企業に送信した。BCCではなくCCに誤って含まれていた受信者のアドレスが流出した。(600)

英国

Mimecast

同社は、SolarWinds社への攻撃を行ったアクターが、同社のプロダクショングリッド環境にアクセスしたことを明らかにした。この侵入者は、Mimecastが発行した特定の証明書および関連する顧客のサーバー接続情報、一部のメールアドレス、そして暗号化、ハッシュ化あるいはソルト化された認証情報にアクセスした。

Coleman Group

同グループは、2021年2月20日の週末にサイバー攻撃を受けた。その際に、人事・給与ファイルの一部がアクセスを受けた可能性がある。影響を受けたファイルには、現在および過去の従業員に関する氏名、住所、社会保険番号、銀行情報が含まれている。

中国

Zhaopin, Liepin and 51Job

このオンライン求人情報企業が、個人の同意や認識なしに、料金を支払った法人アカウントに対して履歴書のダウンロードを許可していたことが判明した。これらの履歴書は、ソーシャルメディア「QQ」の情報の不正販売に関与しているグループで販売され、詐欺師に利用されていた。

その他

WeLeakInfo

あるハッカーフォーラムのユーザーは、WeLeakInfoのドメインの1つをFBIが失効させた後に登録し、顧客データを入手できたと主張している。このデータには、クレジットカードの一部データ、氏名、メールアドレス、住所、支払い金額などが含まれているとされている。

不明

不明

「Sodin」グループは、9つの団体が最近「Sodinokibi」ランサムウェアによって危険にさらされたと主張しています。被害者とされる企業には、米国の法律事務所2社、保険会社1社、建築会社1社、建設会社1社、農業協同組合1社のほか、海外の銀行2社、欧州のメーカー1社が含まれている。アクターは、ファイルディレクトリ、顧客リストの一部、顧客の見積書、契約書のコピー、正式な身分証明書など、被害者とされる組織から盗んだ証拠を公開した。

重要インフラに関連して言及された脅威アクター

このチャートは重要インフラに関連して、先週トレンドとなった脅威アクターを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

小売・ホスピタリティ

Sucuriの研究者は、悪意のあるインジェクションを使用して、支払いページでサイト訪問者からPOSTデータを保存する、Magento 2ストアの侵害を確認した。このインジェクションは、保存したデータをエンコードし、JPGファイルに保存した。研究者によると、これにより攻撃者は盗んだデータを一見無害なファイルに保存し、都合の良い時にダウンロードすることができるようになっていた。このインジェクションにより、支払いページで送信された情報（氏名、住所、支払いカードの詳細、電話番号、およびユーザーがログインしている場合はメールアドレスなど）を保存することが可能になっていた。

政府

Cofenseの研究者が、米国内国歳入庁を装った新たなメールフィッシング・キャンペーンを確認した。このメールでは、American Rescue Planの申請書が引用されており、ユーザーはDropboxからExcelのスプレッドシートをダウンロードするよう求められる。その際、ユーザーはマクロを有効にするよう求められるが、このマクロは、マルウェアを直接ダウンロードしたり、PowerShellスクリプトを実行したりせず、代わりにXSLファイルをディスクにドロップした後、WMIクエリを使用してシステム情報を取得すると、研究者は指摘している。そして、XSLファイルに含まれるJavaScriptがWMI経由で実行され、バンキングトロイの木馬「Dridex」がダウンロードされる。

重要インフラ

McAfeeの研究者は、「Operation Diànxùn」と名付けられた、東南アジア、ヨーロッパ、米国の電気通信企業を標的とする新しいスパイ活動を観測した。ドイツ、ベトナム、インドの企業への強い関心が確認されている。最初の攻撃経路は現時点では不明だが、攻撃者が管理するドメインを経由したものと考えられており、Huawei社のキャリアページを装ったフィッシングサイトが使用されたものと推測される。最終的なペイロードには、遠隔操作用のバックドアと「Cobalt Strike Beacon」が含まれている。このキャンペーンで使用されている手法は、「RedDelta」や「Mustang Panda」による過去のキャンペーンに類似しているが、「PlugX」の使用は確認されていない。研究者は、今回のキャンペーンが、世界的な5G展開において中国の技術が禁止されていることに関連している、と中程度の確信を持って評価している。

テクノロジー

Kasperskyの研究者は、クリプトマイニング・ボットネット「Lemon_Duck」の責任者である脅威アクターが、脆弱性「ProxyLogon」を悪用して脆弱なMicrosoft Exchange Serverを「大規模に攻撃」していると警告した。エクスプロイテーションの後、同グループは悪意のあるペイロードをWebshell経由でサーバーにダウンロードする。また、Huntress Labsも、Microsoft Exchange Serverの悪用状況を調査する中で、「XMRig Monero」CPUマイナーをデバイスにインストールするこのマルウェアに関連したIoCを確認した。

教育

2021年3月16日、米連邦捜査局（FBI）は、「PYSA」ランサムウェアの攻撃が増加しているとして、英米の教育機関に警告を発した。FBIは、攻撃者が学校（幼稚園から高校まで）、神学校、高等教育機関を標的にしていると伝えている。脅威アクターは、リモート・デスクトップ・プロトコル攻撃やフィッシングによって最初のアクセスを獲得した後、「PowerShell Empire」、「Mimikatz」、「Koadic」などのツールを使ってさらなるアクセスを行うことが多い。攻撃者は、ファイルを暗号化する前にファイルを盗み出すが、これらは財務データや雇用データを含んでいる場合が多い。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-12-18-march-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/