ウィークリー・サイバーダイジェストについて
マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。
以下、翻訳です。
2021年3月25日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクトのトレンド
このテーブルでは、ここ1週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。
データ流出
今週報告されたデータ流出の一部を示しています。
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
英国
Midland News Association
「データ・セキュリティ・インシデント」のあと、不正な第三者が同協会のジャーナリストの個人情報を公開した。流出したデータには、元従業員の氏名、住所、銀行口座情報、国民保険番号、生年月日などが含まれている。
Birmingham City Council
バスの無料パスを受け取る権利を持つ子どもたちのデータが、議会スタッフによって誤って「Brum Account」サービスに追加された。この問題により、「何千人もの弱い立場の子どもたち」の情報がさらされたと報じられている。
Fat Face
この衣料品小売業者は、2021年1月17日に発見されたサイバー攻撃の標的となり、システムへの不正アクセスを受けた。侵入者は、氏名、住所、メールアドレス、クレジットカードの有効期限や下4桁など、従業員や顧客の個人情報にアクセスしたと考えられている。
Telsolutions
The Registerによると、英国の12の評議会に代わってTelsolutions Ltdが送信したテキストメッセージには、個人データを保護するための認証がほとんど行われていないサイトへのリンクが含まれていたそうだ。あるユーザーは、自分の個人データが表示されているサイトのURLを変更することで、他の税金滞納者とされる人々のデータを閲覧できることに気づいたという。
Apperta Foundation
セキュリティ研究者のRob Dykeは、医療関連の非営利団体のAPIキー、ユーザー名、パスワードなどが含まれる2つの公開Githubリポジトリを発見した。
米国
Atascadero State Hospital
カリフォルニア州立病院局の職員が、同病院のデータサーバーに不正にアクセスしていたことが明らかになった。2021年2月25日に発覚したこの情報漏洩により、患者や職員の氏名、COVID-19の検査結果、追跡データなどが漏洩した。(2,032)
Mendelson Kornblum
2021年1月5日、同社は、不正な第三者が同社のサーバーの1つに不明な時間にアクセスしたことを認識した。アクセスされたデータには、患者の氏名、診療記録番号、医用画像に関する情報などが含まれていた。
Kentucky Wesleyan College
2020年9月、同校では、現職および元職の教職員、学生、スタッフなどに影響を与えるデータ侵害が判明した。アクセスされた可能性のある情報には、氏名、社会保障番号、生年月日、住所などが含まれる。また「少数の事例」では、納税者番号や生体情報などのデータが流出した可能性もある。
Hobby Lobby
セキュリティ研究者の「boogeyman」は、約136GBのデータを公開する、保護されていないAWSバケットを発見した。公開されたデータには、顧客の名前、電話番号、住所、メールアドレス、決済カードの下4桁が含まれていた。また、従業員の名前やメールアドレス、同社のアプリのソースコードも公開されていた。(300,000)
Spargo Inc
2021年3月14日、同社は「Sodinokibi」ランサムウェア攻撃を発見した。この攻撃は、同社のサーバーとファイルの大部分に影響を与え、バックアップも使用できなくなった。漏洩した可能性のあるデータは、氏名、住所、メールアドレス、電話番号などである。
Sewell Family of Companies
同社は2020年8月1日に発生したデータセキュリティインシデントを開示した。不正な個人が会社のネットワークへのアクセスを試み、その間に一部の顧客や従業員の個人情報が流出した可能性がある。
DeCotiis, Fitzpatrick, Cole & Giblin LLP
2020年4月28日から5月8日の間に、某アクターがある従業員のメールアカウントにアクセスした。アクセスされた可能性のあるデータには、氏名、生年月日、社会保障番号、運転免許証や州の識別番号などが含まれる。
コロラド大学
ランサムウェア「Clop」のオペレーターは、2020年12月にAccellion FTAのサーバーから盗まれたファイルのスクリーンショットを公開しており、その中には学生の成績や大学の財務書類などが含まれていた。大学によると、影響を受ける可能性のあるデータには、学生や従業員の情報、限られた健康情報などが含まれているとのこと。
マイアミ大学
ランサムウェア「Clop」グループは、2020年12月にAccellion FTAサーバーから盗まれたファイルのスクリーンショットの投稿を開始した。脅威アクターは、医療記録、人口統計学的レポートなどを含む患者データのスクリーンショットを共有した。
California State Controller’s Office
同局のUnclaimed Property Divisionの職員がスピアフィッシング攻撃の被害に遭った。情報筋がKrebsOnSecurityに伝えたところによると、攻撃者はMicrosoft Office 365のファイルにアクセスしており、おそらく州のネットワーク上で、そのアカウントで共有されているファイルを共有したとのこと。攻撃者は、数千人の州職員の社会保障番号と機密ファイルを盗んだと言われている。SCOによると、ITスタッフはこの従業員のメールボックス以外のOffice 365ファイルへのアクセスを発見しなかったとのこと。
Haven Behavioural Healthcare
この医療機関は、2020年9月24日から9月27日の間にワークステーション上で異常な活動を確認した。今回の事件で影響を受けた文書には、氏名、生年月日、病歴、治療情報などが含まれている可能性があるという。
Solairus Aviation
同社は、サードパーティベンダーであるアビアニス社から、アビアニス社のMicrosoft Azureクラウドホスティングプラットフォームに不正な者がアクセスしたとの通知を受けたと報告している。アクセスされた可能性のあるデータには、従業員や顧客の社会保障番号、パスポート番号、金融機関の口座番号などが含まれている。
Mott Community College
このミシガン州の大学では、不正な個人が、2014年から2015年、および2019年に加入した従業員の氏名と生年月日など、同校の歯科保険に関連するファイルを流出させたことを発見した。
PCS Revenue Control Systems
フロリダ州ポーク郡の学校のベンダーが、2019年12月19日にデータ侵害の対象となった。不正なアクターが、生徒の氏名、識別番号、生年月日にアクセスした可能性がある。
台湾
Acer
同エレクトロニクス企業が「REvil」ランサムウェア攻撃の標的となり、攻撃者は5千万ドルの身代金を要求した。攻撃者は、攻撃で盗んだと思われる文書の画像をデータリークサイトに掲載しており、その中には、財務関連スプレッドシート、銀行預金残高、銀行のやりとりが含まれていた。
ニュージーランド
Lumino
2021年3月15日、同社傘下のウェリントン・オーラルサージェリーは、ハッカーが従業員のメールアカウントを侵害し、患者データにアクセスしたことを発見した。Luminoは、この問題が単独のインシデントであることを確信していると述べている。
オランダ
Shell
Shell社は、Accellion社のFile Transfer Applianceに関連するセキュリティ問題の影響を受けたことを公表した。限られた時間内に、権限のない第三者が一部のファイルにアクセスした。影響を受けたデータには、同社関連企業やステークホルダーの個人情報が含まれている。
イスラエル
Elector
2021年3月22日、イスラエルの全有権者の氏名とID番号が記載されたデータベースが某アクターによって流出した。Haaretzによると、認証できなかった流出データの一部は、アクターの主張とは異なり、Electorアプリ以外のソースから取得されたものと思われる。
ケイマン諸島
Jacques Scott Group
この小売業者は、ランサムウェア攻撃の標的となった。従業員、株主、年金口座保有者の個人情報が影響を受けた。この攻撃では、顧客情報や財務データは流出しなかった。(150)
キプロス
FBS
WizCase社の研究者は、セキュリティ保護されていないElasticSearchサーバーに、約20TBのデータと160億件以上のレコードが含まれていることを発見した。流出したデータには、顧客名、パスワード、メールアドレス、パスポート番号、国民ID、クレジットカード、金融取引などが含まれている。
日本
Line Corp
菅義偉首相は、LINEの中国関連会社がユーザーの個人情報にアクセスしたとの報道を受け、政府職員にメッセージングアプリ「LINE」の使用停止を指示した。侵入者は、約8,600万人の日本のユーザーの電話番号、メール、自宅の住所にアクセスしたとされている。同社は、「外部から」の侵入によってLINEのユーザーが影響を受けたことを否定している。
不明
不明
PrivacySavvy社の研究者が、複数の旅行アプリに関連する、公開され、かつアクセス可能なデータサーバーを発見した。これらのアプリは、サブドメインから隠しディレクトリを引き出して機密情報を漏えいさせる攻撃に対して脆弱であることがわかった。
MangaDex
このサイトは、管理者権限を取得した攻撃者によって侵害された。この攻撃者は、サイトのソースコードをダウンロードし、そのソースコードをGitHubで公開した。また、この脅威アクターは、サイトのデータベースを取得したと報告されている。
バンキングに関連して言及された攻撃タイプ
このチャートはバンキングに関連して、先週トレンドとなった攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
ロシア中央銀行は、弱点や脆弱性を検出して利用するために、金融モバイルアプリケーションの深い分析を専門とする、高度な技術を持った脅威アクターについて、ユーザーに警告した。このアクターは、これまでに少なくとも2つの攻撃を実行しており、1つのケースでは非公開の銀行の顧客の身元、銀行口座データ、カード番号を入手して流出させ、もう1つのケースでは口座からの不正送金を行っていた。
政府
米連邦捜査局(FBI)は、2018年から2020年にかけてビジネスメール詐欺攻撃の増加が観測されたとして、州、地方、部族、領土の政府機関に警告するPrivate Industry Notificationを発行した。この増加は、特にCOVID-19パンデミックの開始時に観測された。FBIは、なりすましメール、フィッシング攻撃、ベンダーのメール侵害、クレデンシャルハーベスティングの技術が、攻撃者の支配下にある銀行口座に支払いをリダイレクトするために引き続き使用されていると警告している。
重要インフラ
Dragosの研究者は、2019年後半から2020年にかけ、アゼルバイジャンの風力発電事業者や政府機関を標的にしていたことが確認されたグループ、「STIBNITE」の最近の活動について詳述している。この脅威アクターは、スピアフィッシング技術を用いて「PoetRAT」を配信し、これを情報収集活動に利用しているという。観測された利己的な活動の中には、ファイルの一覧表示、スクリーンショットの撮影、ファイルの転送、コマンドの実行などがあった。「STIBNITE」は、「PypyKatz」と「LaZagne」を使用して認証情報を収集し、さらにオープンソースのリソースを使用してWebブラウザの認証情報を窃取している。研究者は、「STIBNITE」は現在、ITネットワークを中心に活動していまるが、同グループが収集したデータは、将来的にICSネットワークの侵害に使用される可能性があると警告している。
テクノロジー
SentinelLabs社の研究者は、「XcodeSpy」と呼ばれる悪意のあるXcodeプロジェクトを利用してAppleのデベロッパーを狙う脅威アクターを確認した。このプロジェクトは、iOS開発者がiOSタブバーをアニメーション化することができるオープンソースのプロジェクトを改変したものだという。このマルウェアには、難読化されたRun Scriptが含まれており、カスタム・バージョンの「EggShell」バックドアを標的マシンにドロップする。このバックドアは、ターゲットのカメラ、マイク、キーボードの記録と、ファイルのアップロードやダウンロードができるという。
教育
英国の国家サイバーセキュリティセンター(NCSC)は、2021年2月下旬以降、英国の教育部門に対する標的型ランサムウェアの攻撃がさらに増加していることが観測されたとして、注意喚起を行った。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/threat-summary-19-25-march-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/